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当今 世界 是 信息 化 的 时 代 , 信 息 已 作为 人 类 社会 继 人 、 财 、 物 之 
后 的 第 四 大 财富 , 随 着 人 们 对 计算 机 网 络 的 依赖 日 益 增强 , 越 来 越 
多 的 信息 和 重要 数据 资源 都 出 现在 网 络 中 ,通过 计算 机 网 络 获 取信 
息 的 方式 已 成 为 人 们 信息 沟通 的 主要 方式 ,也 是 现代 人 类 生活 的 重 
要 组 成 部 分 。 然 而 ,人 们 在 使 用 计算 机 网 络 获得 诸多 便利 和 好 处 的 
同时 ,也 受到 了 来 自 黑 客 \ 计 算 机 病毒 的 侵袭 和 威胁 ,使 个 人 、 家 庭 、 
单位 乃至 国家 蒙受 巨大 的 损失 ,特别 是 自 20 世纪 90 年 代 以 来 , 随 着 
Internet 网 络 规模 爆炸 式 的 增长 ,网 络 上 各 种 新 业务 (如 电子 政务 、 
电子 商务 、 网 络 银行 和 网 上 购物 等 ) 的 兴起 以 及 各 种 专用 网 络 (如 金 
融 网 、 金 税 网 和 教育 网 等 ) 的 建设 ,使 得 如 何 保障 信息 安全 及 计算 机 
网 络 安全 已 成 为 一 个 隙 待 解决 的 问题 ,计算 机 安全 及 网 络 安全 也 已 
成 为 当前 的 重要 研究 课题 。 

作者 根据 多 年 的 教学 经 验 和 实践 经 验 编写 出 了 本 书 , 旨 在 帮助 
广大 读者 全 面 了 解 和 掌握 计算 机 及 网 络 安全 的 基本 原理 、 结 构 、 安 
全 管理 实施 手段 及 管理 技术 。 乃 切 希望 本 书 的 出 版 能 给 读者 带 来 
收益 和 帮助 。 

本 书 内 容 丰 富 、 图 文 并 茂 ,注重 理 论 联系 实际 , 书 中 列举 了 大 量 
的 应 用 实例 ,并 介绍 了 大 量 网 络 安全 管理 实用 工具 的 使 用 技术 ,如 
常用 扫描 工具 、 常 用 病毒 的 诊断 与 清除 技术 以 及 常用 噬 探 器 的 使 用 
技术 。 

本 书 共 13 章 ,第 1 章 介 绍 计算 机 安全 与 网 络 安全 的 基本 概念 ， 
第 2 章 介绍 计算 机 环境 安全 技术 ,第 3 章 介绍 计算 机 系统 安全 与 数 
据 备 份 技术 ,第 4 章 介 绍 信 息 安全 技术 ,第 5 章 介 绍 网 络 通 信安 全 技 
术 , 第 6 章 介 绍 局 域 网 与 Internet 安全 技术 ,第 7 章 介绍 网 络 操作 系 
统 的 安全 技术 ,第 8 章 介绍 防火 墙 及 其 安全 技术 ,第 9 章 介绍 网 络 入 
侵 检测 技术 ,第 10 章 介绍 端口 及 漏洞 扫描 技术 ,第 11 章 介 绍 疾 探 原 
理 及 噬 探 技术 ,第 12 章 介绍 计算 机 病毒 诊断 与 防范 技术 ,第 13 章 介 
绍 黑客 的 常用 攻击 手段 及 黑客 防范 技术 。 

在 编写 本 书 的 过 程 中 ,作者 借鉴 和 参考 了 许多 有 关 计 算 机 安 
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全 、 信 息 安全 及 网 络 安 全 的 书籍 和 文章 ,并 参考 了 许多 网 站 资料 ,在 此 向 有 关 作者 表示 
由 于 作者 水 平 有 限 , 加 上 时 间 缴 忙 , 书 中 难免 有 错误 和 疏漏 之 处 ,恳请 广大 读者 批评 
指正 ,不 胜 感 谢 。 


杨 云 江 
2007 年 6 月 
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在 当今 信息 化 的 社会 中 ,人 们 对 计算 机 网 络 的 依赖 日 益 增 强 , 越 来 越 多 的 信息 和 重 
要 数据 资源 出 现在 网 络 中 。 通 过 网 络 获取 信息 的 方式 已 成 为 当前 主要 的 信息 沟通 方式 
之 一 ,这 种 趋势 还 在 不 断 地 发 展 。 人 们 在 使 用 Internet 获得 诸多 便利 和 好 处 的 同时 ,也 
受到 了 来 自 黑 客 `. 计 算 机 病毒 的 侵袭 和 威胁 ,使 个 人 和 单位 蒙受 了 巨大 的 损失 ,特别 是 近 
年 来 Internet 呈 规 模 爆炸 式 的 增长 ,网 络 上 各 种 新 业务 (如 电子 政务 .电子 商务 .网络 银 
行 和 网 上 购物 等 ) 的 兴起 以 及 各 种 专用 网 络 ( 如 金融 网 、 金 税 网 和 教育 网 等 ) 的 建设 ,使 得 
如 何 保障 计算 机 安全 及 网 络 安 全 已 成 为 目前 一 个 取 待 解决 的 问题 。 因 此 ,计算 机 安全 及 
网 络 安 全 技术 成 为 当前 网 络 技 术 的 重要 研究 课题 和 发 展 方向 。 

计算 机 安全 及 网 络 安全 主要 的 研究 内 容 如 下 : 
计算 机 环境 安全 技术 。 
计算 机 硬件 安全 技术 。 
计算 机 软件 安全 技术 。 
数据 备份 与 信息 安全 技术 。 
网 络 平台 安全 技术 。 
网 络 通 信安 全 技术 。 
网 络 操作 系统 安全 技术 。 
防火 墙 技术 。 
入 侵 检 测 与 端口 扫描 技术 。 
计算 机 病毒 与 黑客 的 防范 技术 。 

本 书 将 对 上 述 内 容 逐 步 加 以 介绍 。 

本 章 着 重 介绍 计算 机 网 络 安全 的 基础 知识 .并 对 计算 机 网 络 安全 问题 的 基本 内 容 进 
行 介绍 。 
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111 信息 安全 


1. 信息 安全 的 基本 概念 
在 这 里 ,给 信息 安全 下 一 个 定义 : 
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国际 标准 化 组 织 (ISO) 对 信息 安全 的 定义 为 : 为 数据 处 理 系统 建立 和 采取 的 技术 和 
管理 的 安全 保护 ,保护 计算 机 硬件 、 软 件数 据 不 因 偶然 和 恶意 的 原因 而 遭 到 破坏 .更 改 和 
泄露 。 

我 国安 全 保护 条 例 对 信息 安全 的 定义 为 : 计算 机 信息 系统 的 安全 保护 ,应 当 保障 计 
算 机 及 其 相关 的 和 配套 的 设备 .设施 ( 含 网 络 ) 的 安全 ,运行 环境 的 安全 ,保障 信息 的 安 
全 ,保障 计算 机 功能 的 正常 发 挥 ,以 维护 计算 机 信息 系统 的 安全 运行 。 

可 以 把 信息 安全 保密 内 容 分 为 实体 安全 、 运 行 安全 .数据 安全 和 管理 安全 4 个 方面 。 

计算 机 信息 系统 安全 的 目标 是 着 力 于 实体 安全 、 运 行 安全 ,信息 安全 和 人 员 安 全 。 
安全 保护 的 直接 对 象 是 计算 机 信息 系统 ,实现 安全 保护 的 关键 因素 是 人 。 

信息 安全 主要 涉及 到 信息 传输 的 安全 、 信 息 存储 的 安全 以 及 对 网 络 传输 信息 内 容 的 
审计 3 方面 。 

1) 信息 传输 安全 系统 

。 信息 传输 加 密 技 术 。 目 的 是 对 传输 中 的 数据 流 加 密 , 以 防止 通信 线路 上 的 窃听 、 

泄漏 、 自 改 和 破坏 。 如 果 以 加 密实 现 的 通信 层次 来 区 分 ,加 密 可 以 在 通信 的 三 个 
不 同 层次 来 实现 , 即 链 路 加 密 (位 于 OSI 网 络 层 以 下 的 加 密 ) 、 结 点 加 密 和 端 到 端 
加 密 (传输 前 对 文件 加 密 , 位 于 OSI 网 络 层 以 上 的 加 密 )。 

一 般 常 用 的 是 链 路 加 密 和 端 到 端 加 密 这 两 种 方式 。 链 路 加 密 侧重 在 通信 链 路 上 而 
不 考虑 信 源 和 信 宿 ,是 对 保密 信息 通过 各 链 路 采用 不 同 的 加 密 密 钥 提供 安全 保护 。 链 路 
加 密 是 面向 结 点 的 ,对 于 网 络 高 层 主体 是 透明 的 , 它 对 高 层 的 协议 信息 (地 址 、 检 错 及 帧 
头 帧 尾 ? 都 加 密 ,因此 数据 在 传输 中 是 密 文 ,但 在 中 央 结 点 必须 解密 得 到 路 由 信息 。 端 到 
端 加 密 则 指 信息 由 发 送 端 自动 加 密 , 并 进入 TCP/IP 数据 包 封 装 ,然后 作为 不 可 阅读 和 
不 可 识别 的 数据 穿 过 互联 网 , 当 这 些 信息 一 旦 到 达 目 的 地 .将 自动 重组 .解密 ,成 为 可 读 
数据 。 端 到 端 加 密 是 面向 网 络 高 层 主 体 的 , 它 不 对 下 层 协议 进行 信息 加 密 , 协 议 信息 以 
明文 形式 传输 ,用 户 数据 在 中 央 结 点 不 需 解密 。 

。 数据 完整 性 鉴别 技术 。 目 前 ,对 于 动态 传输 的 信息 ,许多 协议 确保 信息 完整 性 的 
方法 大 多 是 收 错 重 传 . 丢 弃 后 续 包 的 办 法 ,但 黑客 的 攻击 可 以 改变 信息 包 内 部 的 
内 容 , 所 以 应 采取 有 效 的 措施 来 进行 完整 性 检验 控制 。 

报 文 鉴别 。 与 数据 链 路 层 的 循环 宛 余 校 验 (Cyclic Redundancy Check ,CRC) 控 制 
类 似 , 将 报 文 名 字段 (或 域 ) 使 用 一 定 的 操作 组 成 一 个 约 东 值 , 称 为 该 报 文 的 完整 
性 检测 向 量 (Integrated Check Vector,ICV)。 然 后 将 它 与 数据 封装 在 一 起 进行 
加 密 ,传输 过 程 中 由 于 侵入 者 不 能 对 报 文 解密 ,所 以 也 就 不 能 同时 修改 数据 并 计 
算 新 的 ICV ,这 样 ,接收 方 收 到 数据 后 解密 并 计算 ICV ,车 与 明文 中 的 ICV 不 同 ， 
则 认为 此 报 文 无 效 。 

校 验 和 。 一 个 最 简单 易 行 的 完整 性 控制 方法 是 使 用 校 验 和 ,计算 出 该 文件 的 校 验 
和 值 并 与 上 次 计算 出 的 值 比 较 。 若 相等 ,说 明文 件 没有 改变 ; 若 不 等 , 则 说 明文 件 
可 能 被 未 察觉 的 行为 改变 了 。 校 验 和 方式 可 以 查 错 , 但 不 能 保护 数据 。 

加 密 校 验 和 。 将 文件 分 成 小 块 ,对 每 一 块 计算 CRC 校 验 值 ,然后 再 将 这 些 CRC 
值 加 起 来 作为 校 验 和 。 只 要 运用 恰当 的 算法 ,这 种 完整 性 控制 机 制 几 乎 无 法 破 
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解 。 但 这 种 机 制 运算 量 大 ,并 且 昂 贵 ,只 适用 于 那些 完整 性 要 求 保护 极 高 的 情况 。 

。 消息 完整 性 编码 (Message Integrity Code,MIC)。 使 用 简单 单 向 散 列 函数 计算 消 
息 的 摘要 ,连同 信息 发 送 给 接收 方 , 接 收 方 重新 计算 摘要 ,并 进行 比较 验证 信息 在 
传输 过 程 中 的 完整 性 。 这 种 散 列 函 数 的 特点 是 任何 两 个 不 同 的 输入 不 可 能 产生 
两 个 相同 的 输出 。 因 此 ,一 个 被 修改 的 文件 不 可 能 有 同样 的 散 列 值 。 单 向 散 列 函 
数 能 够 在 不 同 的 系统 中 高 效 实现 。 
防 抵赖 技术 。 它 包括 对 源 和 目的 地 双方 的 证 明 ,常用 方法 是 数字 签名 ,数字 签名 
采用 一 定 的 数据 交换 协议 ,使 得 通信 双方 能 够 满足 两 个 条 件 ,接收 方 能 够 鉴别 发 
送 方 所 宣称 的 身份 ,发 送 方 事后 不 能 否认 他 发 送 过 数据 这 一 事实 。 比 如 ,通信 的 
双方 采用 公 钥 体制 ,发送 方 使 用 接收 方 的 公 钥 和 自己 的 私 钥 加 密 的 信息 ,只 有 接 
收 方 凭借 自己 的 私 钥 和 发 送 方 的 公 钥 解密 之 后 才能 读 懂 ,而 对 于 接收 方 的 回执 也 
是 同样 道理 。 另 外 实现 防 抵赖 的 途径 还 有 通过 可 信 第 三 方 的 认证 、 使 用 时 间 戳 、 
采用 一 个 在 线 的 第 三 方 , 数 字 签名 与 时 间 戳 相 结合 等 。 

鉴于 为 保障 数据 传输 的 安全 , 需 采 用 数据 传输 加 密 技术 数据 完整 性 鉴别 技术 及 防 
抵赖 技术 。 因 此 为 节省 投资 .简化 系统 配置 .便于 管理 .使 用 方便 ,有 必要 选取 集成 的 安 
全 保密 技术 措施 及 设备 。 这 种 设备 应 能 够 为 大 型 网 络 系统 的 主机 或 重点 服务 器 提供 加 
密 服 务 ,为 应 用 系统 提供 安全 性 强 的 数字 签名 和 自动 密 钥 分 配 功能 ,支持 多 种 单 向 散 列 
函数 和 校 验 码 算法 ,以 实现 对 数据 完整 性 的 鉴别 。 

2) 信息 存储 安全 系统 

在 计算 机 信息 系统 中 存储 的 信息 主要 包括 纯粹 的 数据 信息 和 各 种 功能 文件 信息 两 
大 类 。 对 纯粹 数据 信息 的 安全 保护 ,以 数据 库 信 息 的 保护 最 为 典型 。 而 对 各 种 功能 文件 
的 保护 ,终端 安全 很 重要 。 

(1) 数据 库 安全 。 

对 数据 库 系统 所 管理 的 数据 和 资源 提供 安全 保护 ,其 安全 功能 如 下 : 
物理 完整 性 。 即 数据 能 够 免 于 物理 方面 破坏 的 问题 ,如 掉 电 、 火 灾 等 。 
逻辑 完整 性 。 能 够 保持 数据 库 的 结构 ,比如 对 一 个 字段 的 修改 不 至 于 影响 其 他 
字段 。 
元 素 完 整 性 。 包 括 在 每 个 元 素 中 的 数据 是 准确 的 。 
数据 的 加 密 。 数 据 以 密 文 形式 存储 和 传输 ,需要 时 再 进行 解密 。 
用 户 鉴别 。 确 保 每 个 用 户 被 正确 识别 ,避免 非法 用 户 入 侵 。 
可 获得 性 。 指 用 户 一 般 可 访问 数据 库 和 所 有 授权 访问 的 数据 。 
可 审计 性 。 能 够 追踪 到 谁 访问 过 数据 库 。 

要 实现 对 数据 库 的 安全 保护 ,一 种 选择 是 安全 数据 库 系统 , 即 系统 的 设计 、 实 现 、 使 
用 和 管理 等 各 个 阶段 都 要 遵循 一 套 完整 的 系统 安全 策略 ;二 是 以 现 有 数据 库 系统 所 提供 
的 功能 为 基础 构建 安全 模型 , 旨 在 增强 现 有 数据 库 系统 的 安全 性 。 

(2) 终端 安全 。 

主要 解决 计算 机 终端 信息 的 安全 保护 问题 ,其 安全 功能 如 下 : 

。 基于 口令 密码 算法 的 身份 验证 ,防止 非法 使 用 机 器 。 
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自主 和 强制 存 取 控制 ,防止 非法 访问 文件 。 

多 级 权限 管理 ,防止 越权 操作 。 

存储 设备 安全 管理 ,防止 非法 软盘 复制 和 硬盘 启动 。 
数据 和 程序 代码 加 密 存储 ,防止 信息 被 窃 。 

预防 病毒 ,防止 病毒 侵袭 。 

严格 的 审计 跟踪 ,便于 追查 责任 事故 。 


3) 信息 内 容 审计 系统 
实时 对 进出 内 部 网 络 的 信息 进行 审计 ,以 防止 或 追查 可 能 的 泄密 行为 。 因 此 ,为 了 
满足 国家 保密 法 的 要 求 , 在 某 些 重要 或 涉 密 网 络 ,应 该 安装 使 用 审计 系统 。 


2. 


3. 


信息 安全 的 特点 


相对 性 。 没 有 绝对 的 安全 ,只 有 相对 的 安全 。 其 安全 程度 与 面临 的 安全 风险 大 
小 、 安 全 防护 人 力 .物力 投入 多 少 相关 。 

综合 性 。 信 息 安全 并 非 一 个 单纯 的 技术 层面 的 问题 , 它 还 涉及 到 管理 .意识 和 国 
家 法 律 等 多 个 层面 ,因此 ,信息 安全 其 实 是 一 个 综合 性 的 问题 ,各 个 环节 紧密 衔接 
在 一 起 。 

产品 多 样 性 。 防 黑客 的 产品 不 能 用 来 防 病毒 ,不 同 强度 控制 不 同 风险 ,不 能 仅 指 
望 靠 单 一 的 网 络 安全 产品 来 做 到 一 劳 永 逸 。 

动态 性 。 今 天 安全 不 等 于 明天 就 安全 ,在 前 一 段 时 间 看 来 是 较为 安全 的 问题 随 着 
黑客 技术 的 发 展 也 会 暴露 出 原来 未 检测 到 的 漏洞 ,所 以 需要 对 黑客 行为 模式 进行 
不 断 提炼 ,在 技术 上 的 及 时 跟 进 和 维护 支持 非常 重要 。 

不 易 管 理性 。 显 然 安全 保护 越 好 ,就 越 不 易于 管理 ,而 我 们 不 能 限制 网 络 带 来 的 
优势 ,因此 投资 .安全 和 便捷 之 间 需 要 平衡 ,通过 将 不 同 技术 控制 手段 和 管理 的 结 
合 来 实现 。 

黑 盒 性 。 信 息 与 网 络 的 不 安全 性 是 相对 透明 的 ,也 就 是 说 ,信息 安全 与 网 络 安全 
是 具有 黑 盒 性 的 。 信 息 安 全 与 网 络 安全 工具 和 设备 在 运行 时 对 用 户 是 不 可 见 的 ， 
到 底 能 防 多 少 黑客 .系统 受 多 少 伤害 、 是 否 带 来 新 的 不 安全 因素 ,包括 整个 安全 体 
系 都 是 很 模糊 的 .用 户 不 知 如 何 管理 ,本 书 将 提 到 的 网 络 安全 资源 管理 平台 就 可 
以 给 管理 人 员 一 片 感性 的 天 地 。 


信息 安全 的 三 个 层面 


信息 安全 是 要 保证 信息 的 完整 性 .可 用 性 和 保密 性 。 当 前 ,信息 安全 可 以 分 为 3 个 
层面 : 网 络 安全 .系统 安全 以 及 信息 数据 安全 。 

网 络 层 安全 问题 的 核心 在 于 网 络 是 否 得 到 控制 ,一 旦 危险 的 访问 者 进入 企业 网 络 ， 
后 果 是 不 堪 设想 的 。 这 就 要 求 网 络 能 够 对 所 有 来 访 者 进行 分 析 , 判 断 来 自 这 一 IP 地 址 
的 数据 是 否 安全 ,以 及 是 否 会 对 本 网 络 造成 危害 ;同时 还 要 求 系统 能 自动 将 危险 来 访 拒 
之 门 外 , 并 对 其 进行 自动 记录 ,使 其 无 法 再 次 入 侵 。 

系统 层面 的 安全 问题 ,主要 是 病毒 对 于 网 络 的 威胁 。 病 毒 的 危害 已 是 人 尽 皆 知 了 ， 
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它 就 像 是 暗藏 在 网 络 中 的 不 定时 炸弹 ,系统 随时 都 有 可 能 遭 到 破坏 而 导致 严重 后 果 甚 至 
造成 系统 瘫痪 。 因 此 企业 必须 做 到 实时 监测 ,随时 查 毒 . 杀 毒 , 不 能 有 丝毫 的 懈 仍 与 

信息 数据 是 安全 问题 的 关键 ,要 求 保 证 信息 传输 的 完整 性 ,保密 性 等 。 这 一 安全 问 
题 所 涉及 的 是 使 用 系统 中 的 资源 和 数据 的 用 户 是 否 是 真正 被 授权 的 用 户 , 这 就 要 求 系统 
能 够 对 网 络 中 流通 的 数据 信息 进行 监测 .记录 ,并 对 使 用 该 系统 信息 数据 的 用 户 进行 身 
份 认证 ,以 保证 信息 安全 。 

目前 ,针对 这 3 个 层面 而 开发 出 的 信息 安全 产品 主要 包括 杀毒 软件 防火墙、 安全 管 
理 , 认 证 授权 和 加 密 等 。 其 中 以 杀毒 软件 和 防火 墙 应 用 最 为 广泛 。 


112 计算 机 安全 


1. 计算 机 安全 的 基本 概念 


1946 年 ,计算 机 问世 的 初期 ,人 们 关注 的 是 如 何 提高 计算 机 的 计算 处 理 能 力 .运算 速 
度 和 存储 能 力 ,并 没有 过 多 地 考虑 到 计算 机 安全 的 问题 。 以 后 , 随 着 多 用 户 、 多 进程 计算 
机 的 出 现 , 众 多 用 户 使 用 同一 台 计 算 机 运行 不 同 的 进程 ,由 此 产生 了 计算 机 账户 管理 和 
资源 分 配 等 需求 ,因此 出 现 了 身份 认证 和 访问 控制 ,开始 在 操作 系统 中 设置 专门 的 用 户 
口令 文件 和 用 户 账户 文件 ,并 在 用 户 登录 时 引发 身份 认证 进程 。 计 算 机 还 为 不 同 的 用 户 
设置 专用 目录 和 公用 目录 ,根据 预先 分 配 用 户 的 权限 来 控制 其 访问 范围 。 从 而 引入 了 计 
算 机 安全 的 概念 ,20 世纪 70 年 代 初 出 现 的 UNIX 操作 系统 就 具备 了 这 样 的 安全 机 制 。 
实质 上 ,计算 机 安全 是 研究 如 何 预防 和 检测 计算 机 系统 用 户 的 非 授权 行为 。 

计算 机 安全 是 以 信息 安全 为 基础 的 ,也 即 是 以 信息 的 存储 访问、 传输 的 安全 为 宗旨 
的 安全 机 制 。 将 在 后 面 的 内 容 中 介绍 。 


2. 计算 机 安全 的 基本 内 容 


计算 机 安全 主要 分 为 3 大 部 分 : 硬件 安全 、 软 件 安全 及 数据 安全 。 

硬件 安全 主要 是 指 计算 机 及 其 外 围 设备 的 安全 ,尤其 是 存储 设备 的 安全 显得 最 为 重 
要 。 因 为 在 计算 机 中 ,诸多 的 重要 数据 (比如 个 人 隐私 、 企 业 营 销 信息 和 国家 机 密 等 ) ,都 
是 存放 在 存储 设备 上 的 ,一 旦 这 些 存 储 设备 遭 到 攻击 或 破坏 ,后 果 是 不 堪 设想 的 。 

计算 机 系统 硬件 安全 有 两 个 含义 ,其 一 是 保护 硬件 系统 免 遭 攻击 ,其 二 是 保护 硬件 
系统 免 遭 破坏 。 前 者 指 的 是 如 何 防止 系统 遭 到 攻击 ,后 者 指 的 是 对 于 一 旦 硬件 遭 到 攻击 
后 ,如 何 恢复 原 有 数据 的 问题 。 

软件 安全 指 的 是 对 各 种 应 用 软件 进行 访问 权限 的 设置 ,没有 授权 的 用 户 是 不 能 访问 
该 软件 的 。 

数据 安全 指 的 是 对 数据 的 存储 、 访 问 \ 传 输 的 保密 与 安全 。 

数据 的 存储 安全 类 似 于 计算 机 硬件 安全 ,其 一 是 保护 数据 免 遭 攻击 ,其 二 是 保护 数 
据 免 遭 破坏 ,其 三 是 对 数据 进行 加 密 。 

数据 的 访问 安全 指 的 是 对 用 户 设 置 数据 的 访问 权限 ,不 同 权限 的 用 户 的 访问 范围 是 
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不 一 样 的 ,对 于 没有 权限 的 用 户 ,是 不 能 随意 访问 数据 的 。 

数据 的 传输 安全 指 的 是 保护 数据 在 传输 过 程 中 免 草 窃听、 窃取 、 算 改 和 破坏 。 

后 面 将 要 介绍 ,计算 机 安全 是 以 信息 安全 为 基础 的 ,也 即 是 以 信息 的 存储 ,访问 和 传 
输 的 安全 为 宗旨 的 安全 机 制 。 


113 网 络 安全 


1. 网 络 安全 管理 的 意义 


随 着 人 类 社会 生活 对 Internet 需求 的 日 益 增 长 ,网 络 安全 逐渐 成 为 Internet 及 各 项 
网 络 服务 和 应 用 进一步 发 展 的 关键 问题 ,特别 是 1993 年 以 后 Internet 开始 商用 ,通过 
Internet 进行 的 各 种 电子 商务 业务 日 益 增多 ,加 之 Internet/Intranet 技术 日 趋 成 熟 ,很 多 
组 织 和 企业 都 建立 了 自己 的 内 部 网 络 并 与 Internet 连接 。 电 子 商务 应 用 和 企业 网 络 中 
的 商业 秘密 均 成 为 攻击 者 的 目标 。 

随 着 Internet 的 发 展 , 网 络 安全 技术 也 在 与 网 络 攻击 的 对 抗 中 不 断 发 展 。 从 总 体 上 
看 ,经 历 了 从 静态 到 动态 .从 被 动 防范 到 主动 防范 的 发 展 过 程 。 计 算 机 网 络 安全 是 一 个 
非常 复杂 的 问题 ,安全 问题 不 仅仅 是 技术 方面 的 问题 , 它 还 涉及 人 的 心理 .社会 环境 以 及 
法 律 等 多 方面 内 容 。 

在 计算 机 网 络 系统 中 ,多 个 用 户 共处 在 一 个 大 环境 中 ,系统 资源 是 共享 的 ,用 户 终端 
可 直接 访问 网 络 和 分 布 在 各 用 户 处 理 机 中 的 文件 .数据 和 各 种 软件 ,硬件 资源 。 随 着 计 
算 机 和 网 络 的 普及 ,政府 .军队 的 核心 机 密 和 重要 数据 .企业 的 商业 机 密 、 甚 至 是 个 人 的 
隐私 都 存储 在 计算 机 网 络 中 ,不 法 之 徒 千 方 百 计 的 “ 问 入 "和 破坏 ,使 有 关 方 面 蒙受 了 巨 
大 的 损失 。 

综 上 所 述 , 网 络 安全 技术 主要 用 于 保证 网 络 环境 中 各 种 应 用 系统 和 信息 资源 的 安 
全 ,防止 未 经 授权 的 用 户 非 法 登录 系统 ,非法 访问 网 络 资源 ,窃取 信息 或 实施 破坏 。 网 络 
系统 安全 主要 侧重 于 攻击 行为 和 特征 的 检测 和 阻 断 、 系 统 防 护 和 灾难 恢复 方面 的 研究 。 
主要 技术 有 防火 墙 .访问 控制 .入 侵 检 测 ,漏洞 扫描 、 身 份 认证 .灾难 恢复 和 安全 管理 等 。 


2. 计算 机 网 络 安全 的 有 关 概 念 


。 安全 与 保密 。 计 算 机 网 络 安全 是 指 网 络 系统 中 用 户 共享 的 软 、 硬 件 等 各 种 资源 是 
和 否 安全 ,使 其 不 受到 有 意 无 意 的 破坏 ,不 被 非法 人 侵 等 。 研 究 计 算 机 网 络 安全 问 
题 必 然 要 涉及 到 保密 问题 ,但 安全 与 保密 却 不 是 等 同 的 两 个 概念 。 在 研究 网 络 安 
全 问题 时 ,针对 非法 侵入 、 盗 窃 机 密 等 方面 的 安全 问题 要 用 保密 技术 加 以 解决 。 
保密 是 指 为 维护 用 户 自身 利益 ,对 资源 加 以 防止 非法 侵入 和 防止 盗 取 , 即 使 非法 
用 户 盗 取 到 了 资源 也 识别 不 了 的 方法 。 

风险 与 威胁 。 风 险 是 指 损失 的 程度 ,威胁 是 指 对 资产 构成 威胁 的 人 、 物 、 事 及 想 
法 。 其 中 资产 是 进行 风险 分 析 的 核心 内 容 , 它 是 系统 必须 保护 的 ,网 络 系统 中 的 
资产 主要 是 数据 。 威 胁 会 利用 系统 所 暴露 出 的 弱点 和 要 害 之 处 对 系统 进行 攻击 ， 
威胁 包括 有 意 和 无 意 两 种 。 


0: 计算 机 安全 与 网 络 安全 概论 了 


。 敏感 信息 。 敏 感 信息 是 指 那些 丢失 滥用、 被 非法 授权 人 访问 或 修改 的 信息 ,是 泄 
露 、 破 坏 、 不 可 使 用 或 修改 后 会 对 你 造成 损失 的 信息 。 

。 脆弱 性 。 脆 弱 性 是 指 在 系统 中 安全 防护 的 弱点 或 缺少 用 于 防止 某 些 威胁 的 安全 
防护 。 脆 弱 性 与 威胁 是 密切 相关 的 。 

。 控制 。 控 制 是 指 为 降低 受 破坏 可 能 性 所 做 的 努力 。 


3. 安全 管理 的 基本 内 容 


安全 管理 包括 安全 特征 的 管理 和 管理 信息 的 安全 。 

安全 特征 的 管理 提供 安全 的 服务 ,以 及 安全 机 制 变化 的 控制 ,直至 物理 场地 、 人 员 的 
安全 ,病毒 防范 措施 操作 过 程 的 连续 性 ,灾难 事故 时 恢复 措施 的 计划 与 实施 等 内 容 , 管 理 
信息 的 安全 是 保障 管理 信息 自身 的 安全 。 安 全 管理 提供 的 主要 功能 包括 : 

。 安全 告警 管理 。 

。 安全 审计 跟踪 功能 管理 。 

。 安全 访问 控制 管理 。 


4. 保护 网 络 系统 的 基本 要 素 


1) 安全 策略 

制定 对 系统 进行 有 效 管理 的 安全 策略 。 网 络 系统 的 安全 策略 包括 下 述 内 容 : 

。 使 用 口令 登录 进行 访问 控制 。 

。 制定 网 络 操作 系统 和 用 户 应 用 程序 的 安全 控制 。 

。 对 付 系统 备份 .灾难 系统 和 数据 恢复 的 安全 机 制 。 

。 网 络 系统 的 重要 资源 (如 服务 器 .路 由 器 .交换 机 和 软件 等 ) 的 物理 安全 策略 。 

。 明确 网 络 安装 和 维护 的 软件 硬件 人 员 的 职责 及 网 络 访问 级 别 。 

。 在 进行 网 络 外 部 访问 时 维护 网 络 完整 性 的 策略 。 

2) 防火 墙 

将 非法 信息 和 非法 入 侵 人 员 挡 在 “ 墙 外 ”的 一 种 技术 。 

在 计算 机 网 络 系 统 中 ,“ 防 火 墙 " 是 用 来 限制 和 隔离 网 络 用 户 的 某 些 工作 的 一 种 特殊 
技术 ,安全 系统 对 外 来 造访 者 可 以 通过 防火 墙 技术 来 实现 安全 保护 。 

防火 墙 实质 上 是 用 “ 包 过 滤 ” 技 术 来 实现 的 ,将 对 内 部 网 络 造成 威胁 或 危害 的 外 来 
“数据 包 ” 挡 在 墙 外 。 

3) 记录 

将 网 络 运行 情况 详细 记录 下 来 ,以 便 事 后 进行 分 析 。 

系统 必须 能 自动 记录 网 上 的 每 项 活动 ,系统 管理 员 则 采取 一 些 特殊 手段 对 这 些 记录 
信息 进行 处 理 , 以 便 获得 所 需 信息 来 定位 和 特征 化 入 侵 行为 。 

4) 脆弱 性 评价 

详细 分 析 系统 的 脆弱 性 ,及 时 改进 。 

5) 物理 保护 

物理 保护 指 的 是 对 计算 机 网 络 的 物理 设备 和 通信 介质 进行 有 效 的 保护 。 主 要 防止 
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搭 线 窃取 网 络 数据 。 
6) 注册 登录 
注册 登录 的 限制 。 


12 入 复 机 网 络 面 闹 的 安全 问题 


121 网 络 脆弱 性 分 析 


计算 机 网 络 尤其 是 互联 网 络 , 由 于 网 络 分 布 的 广 域 性 、 网 络 体系 结构 的 开放 性 、 信 息 
资源 的 共享 性 和 通信 信道 的 共用 性 ,而 使 计算 机 网 络 存在 严重 的 脆弱 点 。 它 们 是 网 络 安 
全 的 隐患 。 给 攻击 型 的 威胁 提供 了 可 乘 之 机 ,对 于 网 络 安全 来 说 ,找到 和 确认 这 些 脆弱 
点 是 至 关 重 要 的 。 

1. 网 络 漏洞 


不 设防 的 网 络 会 有 成 百 上 千 个 漏洞 和 后 门 。 机 器 设备 .计算 机 硬件 和 软件 .网 络 系 
统 , 甚 至 有 些 安全 产品 本 身 就 存在 安全 漏洞 。 


2. 电磁 辐射 


电子 设备 工作 过 程 都 有 电磁 辐射 产生 。 电 磁 辐 射 在 网 络 中 表现 出 两 方面 的 脆弱 性 。 
一 方面 ,电磁 辐射 能 够 破坏 网 络 中 传输 的 数据 ,这 种 辐射 的 来 源 有 两 个 方面 ,网 络 周围 电 
子 电 气 设备 产生 的 电磁 辐射 和 试图 破坏 数据 传输 而 预谋 的 干扰 辐射 源 ; 另 一 方面 ,网 络 
的 终端 .打印 机 或 其 他 电子 设备 在 工作 时 产生 的 电磁 辐射 泄露 ,即使 用 不 太 先进 的 设备 ， 
在 近 处 其 至 远 处 都 可 以 将 这 些 数据 ,包括 在 终端 屏幕 上 显示 的 数据 接收 下 来 ,并 且 重 新 
恢复 。 


3. 线路 窃听 


无 源 线路 窃听 通常 是 一 种 没有 检测 的 窃听 , 它 通常 是 为 了 获取 网 络 中 的 信息 内 容 。 
有 源 线路 窃听 是 对 信息 流 进行 有 目的 的 变形 ,能够 任意 改变 信息 内 容 , 注 和 伪造 信息 , 删 
除 和 重 发 原来 的 信息 。 也 可 以 用 于 模仿 合法 用 户 ,或 通过 干扰 阻止 和 破坏 信息 传输 。 


4. 串 音 干 扰 

串 音 的 作用 是 产生 传输 噪音 ,噪音 能 对 网 络 上 传输 的 信号 造成 严重 的 破坏 。 

5. 硬件 故障 

硬件 故障 势必 造成 软件 中 断 和 通信 中 断 , 带 来 重大 损害 。 

6. 软件 故障 

通信 网 络 软件 一 般 用 于 建立 计算 机 和 网 络 的 连接 。 程 序 里 包含 有 大 量 的 管理 系统 
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安全 的 部 分 ,如 果 这 些 软件 程序 受到 损害 , 则 该 系统 就 是 一 个 极 不 安全 的 系统 。 
7. 人 为 因素 


系统 内 部 人 员 的 非法 活动 ,如 系统 操作 员 、 工 程 技术 人 员 和 管理 人 员 盗 窃 机 密 数 据 
或 破坏 系统 资源 。 利 用 制度 不 健全 或 管理 不 严 盗 窃 存 有 机 密 数 据 的 媒体 ,甚至 直接 破坏 
网 络 系统 。 


8. 网 络 规模 


网 络 安全 的 脆弱 性 和 网 络 的 规模 有 密切 关系 。 网 络 规模 越 大 ,其 安全 的 脆弱 性 越 
大 。 资 源 共享 与 网 络 安全 也 是 矛盾 的 , 随 着 网 络 发 展 和 资源 共享 增强 ,安全 问题 也 越 
突出 。 


9. 网 络 物理 环境 


这 种 类 型 脆弱 性 是 属于 计算 机 设备 防止 自然 灾害 的 领域 ,比如 火灾 和 洪水 。 也 包括 
一 般 的 物理 环境 的 保护 , 像 机 房 的 安全 门 .人员 出 和 机房 的 规定 等 。 物 理 环境 安全 保护 
的 范围 不 仅 包括 计算 机 设备 和 传输 线路 ,也 包括 一 切 可 以 移动 的 物品 ,比如 打印 数据 的 
打印 纸 和 装 有 数据 和 程序 的 磁盘 。 


10. 通信 系统 


通信 系统 始终 是 最 严重 的 脆弱 性 课题 。 对 于 一 般 的 通信 系统 ,获得 存 取 权 是 相对 简 
单 的 ,并 且 机 会 总 是 存在 的 。 一 旦 信息 从 生成 和 存储 的 设备 发 送出 去 , 它 将 给 攻击 型 的 
威胁 提供 了 巨大 的 突破 口 。 


122 网 络 面临 的 威胁 


网 络 安全 潜在 威胁 形形色色 ,有 人 为 和 非 人 为 的 .恶意 的 和 非 恶意 的 .内 部 攻击 和 外 
部 攻击 等 。 对 网 络 安全 的 威胁 主要 表现 在 非 授 权 访 问 、 冒 充 合法 用 户 、 破 坏 数 据 完整 性 、 
干扰 系统 正常 运行 .利用 网 络 传播 病毒 和 线路 窃听 等 方面 。 安 全 威胁 主要 利用 以 下 途 
径 , 系 统 存在 的 漏洞 ;系统 安全 体系 的 缺陷 ;使 用 人 员 的 安全 意识 薄弱 ;管理 制度 的 不 
健全 。 

安全 威胁 可 分 为 故意 的 (如 系统 入 侵 ) 和 偶然 的 (如 将 信息 发 到 错误 地 址 ) 两 类 。 故 
意 威胁 又 可 进一步 分 成 被 动 威胁 和 主动 威胁 两 类 ,被 动 威胁 只 对 信息 进行 监听 和 窃取 ， 
而 不 对 其 修改 和 破坏 ; 主动 威胁 则 要 对 信息 进行 故意 复 改 和 破坏 ,使 合法 用 户 得 不 到 可 
用 信息 。 网 络 安全 主要 有 以 下 几 种 : 


1. 基本 的 安全 威胁 


网 络 安全 具备 4 个 方面 的 特征 , 即 机 密 性 、 完 整 性 、 可 用 性 及 可 控 性 。 下 面 的 4 个 基 
本 安全 威胁 直接 针对 这 4 个 安全 目标 。 
。 信息 泄露 。 信 息 泄 露 给 某 个 未 经 授权 的 实体 。 这 种 威胁 主要 来 自 窃 听 、 搭 线 等 信 
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息 探测 攻击 。 

完整 性 破坏 。 数 据 的 一 致 性 由 于 受到 未 授权 的 修改 创建、 破坏 而 损害 。 

拒绝 服务 。 对 资源 的 合法 访问 被 阻 断 。 拒 绝 服务 可 能 由 以 下 原因 造成 ,攻击 者 对 
系统 进行 大 量 的 .反复 的 非法 访问 尝试 而 造成 系统 资源 过 载 ,无 法 为 合法 用 户 提 
供 服务 ;系统 物理 或 逮 辑 上 受到 破坏 而 中 断 服务 。 

非法 使 用 。 某 一 资源 被 非 授 权 人 以 授权 方式 使 用 。 


.主要 渗入 威胁 


假冒 。 即 某 个 实体 假装 成 另外 一 个 不 同 的 实体 。 这 个 未 授权 实体 以 一 定 的 方式 
使 安全 守卫 者 相信 它 是 一 个 合法 实体 ,从 而 获得 合法 实体 对 资源 的 访问 权限 。 这 
是 大 多 数 黑客 常用 的 攻击 方法 。 如 甲 和 乙 同 为 网 络 上 的 合法 用 户 ,网络 能 为 他 们 
服务 。 丙 也 想 获得 这 些 服务 ,于 是 丙 向 网 络 发 出 :“ 我 是 乙 ”。 

算 改 。 乙 给 甲 发 了 如 下 一 份 报 文 :“ 请 给 丁 汇 10000 元 钱 , 乙 ”。 报 文 在 转发 过 程 
中 经 过 丙 ,两 把 报 文 改 为 “请 给 两 汇 10000 元 钱 , 乙 ”。 结 果 是 两 而 不 是 丁 收 到 了 
这 10000 元 钱 。 这 就 是 报 文 算 改 。 

旁 路 。 攻 击 者 通过 各 种 手段 发 现 一 些 系统 安全 缺陷 ,并 利用 这 些 安全 缺陷 绕 过 系 
统 防 线 渗 入 到 系统 内 部 。 

授权 侵犯 。 对 某 一 资源 具有 一 定 权限 的 实体 ,将 此 权限 用 于 未 被 授权 的 实体 ,也 
称 * 内 部 威胁 ”。 


3. 主要 植 入 威胁 


计算 机 病毒 。 计 算 机 病毒 是 一 种 会 “传染 ”其 他 计算 机 程序 并 具有 破坏 能 力 的 程 
序 ,“ 传 染 " 是 通过 修改 其 他 程序 来 把 自身 复制 进去 完成 的 。 比 如 “特洛伊 木马 
(Trojan horse)”, 是 一 种 执行 超出 程序 定义 之 外 的 程序 ,如 一 个 编译 程序 除了 执 
行 编译 任务 以 外 ,还 把 用 户 的 源 程序 偷偷 地 复制 下 来 ,这 种 编辑 程序 就 是 一 个 特 
洛 伊 木马 。 

陷 门 。 在 某 个 系统 或 某 个 文件 中 预先 设置 “机 关 ”, 诱 你 掉 入 “ 陷 门 ”之 中 ,一 旦 你 
提供 特定 的 输入 时 ,允许 你 违反 安全 策略 ,将 自己 机 器 上 的 秘密 自动 传送 到 对 方 
的 计算 机 上 。 

典型 的 安全 威胁 如 表 1-1 所 示 。 


表 1-1 典型 的 网 络 安全 威胁 


~ 


威 胁 描 述 

授权 侵犯 为 某 一 特定 目的 被 授权 使 用 某 个 系统 的 人 ,将 该 系统 用 作 其 他 未 受权 的 目的 
窃听 在 监视 通信 的 过 程 中 获得 信息 

电磁 泄露 从 设备 发 出 的 辐射 中 泄露 信息 

信息 泄露 信息 泄露 给 未 授权 实体 
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续 表 
威 胁 描 述 
物理 人 侵 人 入侵 者 绕 过 物理 控制 而 获得 对 系统 的 访问 权 
重 放 出 于 非法 目的 而 重新 发 送 截 获 的 合法 通信 数据 
资源 耗 尽 某 一 资源 被 故意 超 负荷 使 用 ,导致 其 他 用 户 的 服务 中 断 
完整 性 破坏 对 数据 的 未 授权 创建 、 修 改 或 破坏 造成 一 致 性 损坏 
人 员 朴 忽 一 个 授权 人 出 于 某 种 动机 或 由 于 粗心 将 信息 泄露 给 未 授权 的 人 
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网 络 安全 是 对 付 威胁 、 克 服 脆 弱 性 及 保护 网 络 资源 的 所 有 措施 的 总 称 ,涉及 政策 、 法 
律 .管理 .教育 和 技术 等 方面 的 内 容 。 网 络 安全 是 一 项 系统 工程 ,针对 来 自 不 同方 面 的 安 
全 威胁 ,需要 采取 不 同 的 安全 对 策 。 从 法 律 、 制 度 .管理 和 技术 上 采取 综合 措施 ,以 便 相 
互补 充 ,达到 较 好 的 安全 效果 。 技 术 措施 是 最 直接 的 屏障 ,目前 常用 而 有 效 的 网 络 安全 
技术 对 策 有 如 下 几 种 : 


1. 数据 加 密 技 术 


加 密 是 所 有 信息 保护 技术 措施 中 最 古老 、 最 基本 的 一 种 手段 。 加 密 的 主要 目的 是 防 
止 信息 的 非 授权 泄漏 。 加 密 方法 多 种 多 样 , 在 信息 网 络 中 一 般 是 利用 信息 变换 规则 把 可 
读 的 信息 变 成 不 可 读 的 信息 。 既 可 对 传输 信息 加 密 , 也 可 对 存储 信息 加 密 , 把 计算 机 数 
据 变 成 一 堆 乱 码 数 据 。 现 代 密 码 算法 不 仅 可 以 实现 加 密 ,还 可 以 实现 数字 签名 、 身 份 认 
证 和 报 文 完整 性 鉴别 等 功能 ,能 有 效 地 对 抗 截获 ,非法 访问 、 破 坏 信息 的 完整 性 冒充、 抵 
赖 和 重 放 等 威胁 ,因此 ,密码 技术 是 信息 网 络 安全 的 核心 技术 。 


2. 数字 签名 技术 


数字 签名 机 制 提供 了 一 种 鉴别 方法 ,以 解决 伪造 ,抵赖 .冒充 和 算 改 等 安全 问题 。 数 
字 签 名 采用 一 种 数据 交换 协议 ,使 得 数据 的 收发 双方 能 够 满足 三 个 条 件 , 接 受 方 能 够 鉴 
别 发 送 方 所 宣称 的 身份 ;发 送 方 事后 不 能 否认 他 发 送 过 数据 这 一 事实 ;接收 方 事后 不 能 
伪造 数字 签名 。 数 字 签 名 一 般 采 用 非 对 称 加 密 技 术 ,发 送 方 对 整个 明文 进行 加 密 变换 ， 
得 到 一 个 值 ,将 其 作为 签名 。 接 收 者 使 用 发 送 者 的 公开 密 钥 对 签名 进行 解密 运算 ,如 其 
结果 为 对 方 身份 , 则 签名 有 效 , 证 明 对 方 身 份 是 真实 的 。 

3. 鉴别 技术 

鉴别 的 目的 是 验 明 用 户 或 信息 的 正身 。 对 实体 声称 的 身份 进行 唯一 地 识别 ,以 便 验 
证 其 访问 请 求 或 保证 信息 来 自 或 到 达 指 定 的 源 和 目的 。 鉴 别 技术 可 以 验证 消息 的 完整 


性 ,有 效 地 对 抗 冒充 、 非 法 访问 、 重 放 等 威胁 。 按 照 鉴别 对 象 的 不 同 ,鉴别 技术 可 以 分 为 
消息 源 鉴 别 和 通信 双方 相互 鉴别 ;按照 鉴别 内 容 的 不 同 ,鉴别 技术 可 以 分 为 用 户 身份 鉴 
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别 和 消息 内 容 鉴 别 。 鉴 别 的 方法 很 多 ,利用 鉴别 码 验证 消息 的 完整 性 ;利用 通行 字 、 密 
钥 ,访问 控制 机 制 等 鉴别 用 户 身份 ,防止 冒充 、 非 法 访问 。 当 今 最 佳 的 鉴别 方法 是 数字 签 
名 ,利用 单方 数字 签名 ,可 实现 消息 源 鉴 别 , 访 问 身 份 鉴别 、 消 息 完整 性 鉴别 。 利 用 收发 
双方 数字 签名 ,可 同时 实现 收发 双方 身份 鉴别 、 消 息 完整 性 鉴别 。 


4. 访问 控制 技术 


访问 控制 的 目的 是 防止 非法 访问 。 访 问 控 制 是 采取 各 种 措施 保证 系统 资源 不 被 非 
法 访问 和 使 用 。 一 般 采 用 基于 资源 的 集中 式 控 制 . 基 于 源 和 目的 地 址 的 过 滤 管 理 以 及 网 
络 签证 技术 等 技术 来 实现 。 


5. 安全 审计 技术 


计算 机 安全 审计 是 通过 一 定 的 策略 ,利用 记录 和 分 析 历史 操作 事件 发 现 系 统 的 漏洞 
并 改进 系统 的 性 能 和 安全 。 


6. 防火 墙 技术 


防火 墙 技术 是 建立 在 现代 通信 网 络 技术 和 信息 安全 技术 基础 上 的 应 用 性 安全 技术 ， 
越 来 越 多 地 应 用 于 专用 网 络 与 公用 网 络 的 互 连 环境 中 。 在 大 型 网 络 系统 与 因特网 互 连 
的 第 一 道 屏障 就 是 防火 墙 。 防 火 墙 通过 控制 和 监测 网 络 之 间 的 信息 交换 和 访问 行为 来 
实现 对 网 络 安全 的 有 效 管理 ,其 基本 功能 为 过 滤 进 、 出 网 络 的 数据 ;管理 进 、 出 网 络 的 访 
问 行为 ; 封 堵 某 些 禁 止 行为 ;记录 通过 防火 墙 的 信息 内 容 和 活动 ;对 网 络 攻击 进行 检测 和 
告警 。 

7. 入 侵 检测 技术 


网 络 人 侵 检测 技术 也 叫 网 络 实时 监控 技术 , 它 通过 硬件 或 软件 对 网 络 上 的 数据 流 进 
行 实 时 检查 ,并 与 系统 中 的 人 侵 特征 数据 库 进行 比较 ,一 旦 发 现 有 被 攻击 的 迹象 ,立刻 根 
据 用 户 所 定义 的 动作 做 出 反应 ,如 切断 网 络 连接 ,或 通知 防火 墙 系统 对 访问 控制 策略 进 
行 调 整 ,将 入侵 的 数据 包 过 滤 掉 等 。 

通过 入 侵 检测 技术 ,可 监视 登录 到 系统 用 户 的 一 切 行为 , 当 用 户 试图 对 系统 造成 安 
全 威胁 时 ,自动 发 出 报警 或 切断 网 络 。 


8. 端口 扫描 技术 


网 络 安全 扫描 技术 是 为 使 系统 管理 员 能 够 及 时 了 解 系 统 中 存在 的 安全 漏洞 ,并 采取 
相应 防范 措施 ,从 而 降低 系统 的 安全 风险 而 发 展 起 来 的 一 种 安全 技术 。 利 用 安全 扫描 技 
术 , 可 以 对 局 域 网 络 、Web 站 点 、 主 机 操作 系统 、 系 统 服 务 以 及 防火 墙 系统 的 安全 漏洞 进 
行 扫 描 ,系统 管理 员 可 以 了 解 在 运行 的 网 络 系统 中 存在 不 安全 的 网 络 服务 ,在 操作 系统 
上 存在 可 能 导致 遭受 缓冲 区 溢出 攻击 或 者 拒绝 服务 攻击 的 安全 漏洞 ,还 可 以 检测 主机 系 
统 中 是 否 被 安装 了 窃听 程序 ,防火 墙 系统 是 否 存在 安全 漏洞 和 配置 错误 等 。 
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9. 网 络 嗅 探 技术 


网 络 嗅 探 是 利用 计算 机 的 网 络 接口 截获 目的 地 及 其 他 计算 机 数据 报 文 的 一 种 技术 。 
它 工 作 在 网 络 的 最 底层 ,把 网 络 传输 的 全 部 数据 记录 下 来 。 以 帮助 网 络 管理 员 查 找 网 络 
漏洞 和 检测 网 络 性 能 ,还 可 以 分 析 网 络 的 流量 ,以 便 找 出 所 关心 的 网 络 中 潜在 的 问题 。 


10. 病毒 诊断 与 防治 技术 


病毒 对 计算 机 及 网 络 造成 的 威胁 是 极 大 的 ,一 个 安全 的 计算 机 网 络 系统 ,必须 要 有 
强大 的 病毒 诊断 能 力 和 防范 措施 。 


11. 黑客 防范 技术 


“黑客 "就 是 非法 入 侵 者 ,他 对 计算 机 网 络 的 威胁 也 是 不 可 估量 的 。 黑 客 的 防范 技术 
有 防火 墙 技术 .口令 保护 技术 “堡垒 主机 ?技术 和 * 蜜 饶 ” 技 术 。 


124 网 络 安全 的 基本 功能 
一 个 安全 的 计算 机 网 络 系统 ,通常 是 由 下 列 功能 组 成 的 。 
1. 身份 识别 


身份 识别 是 安全 系统 应 具备 的 最 基本 功能 。 这 是 验证 通信 双方 身份 的 有 效 手段 。 
用 户 向 其 系统 服务 时 ,要 出 示 自 己 的 身份 证 明 。 例 如 在 进入 一 个 系统 或 进程 时 ,需要 提 
交 User ID( 用 户 名 ) 和 Password( 口 令 )。 系 统 应 具备 检查 用 户 身份 的 能 力 , 对 于 用 户 的 
输入 ,能 够 明确 判别 该 输入 是 否 来 自 合法 用 户 。 


2. 存 取 权限 控制 


存 取 权限 的 基本 任务 是 ,防止 非法 用 户 进入 系统 及 防止 合法 用 户 对 资源 的 非法 使 
用 。 在 开放 系统 中 ,网 上 资源 的 使 用 应 制定 一 些 规定 : 一 是 定义 哪些 用 户 可 以 访问 哪些 
资源 ;二 是 定义 可 以 访问 的 用 户 各 自 具备 的 读 、 写 操作 等 权限 。 


3. 保护 数据 完整 性 
主要 通过 消息 摘要 算法 保护 数据 的 完整 性 。 
4. 审计 追踪 


通过 系统 日 志 记录 的 数据 ,对 一 些 关键 数据 进行 统计 分 析 , 当 系统 出 现 安全 问题 时 
能 够 追查 原因 。 


5. 密 钥 管理 


密 钥 安全 管理 有 两 方面 的 含义 : 一 是 对 密 钥 的 产生 、 存 储 、 传 送 和 定期 更 换 进行 有 效 
地 控制 并 引入 密 钥 管 理 机 制 ;二 是 对 密 钥 进行 加 密 , 即 是 要 求 密 钥 必须 经 加 密 处 理 后 方 
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能 允许 通过 公共 网 络 (如 Internet) 进 行 传播 。 


13 系统 安全 策略 


在 规划 和 建设 一 个 网 络 之 前 ,必须 要 明确 哪些 资源 .服务 类 型 需要 保护 ,并 要 求 明确 
其 保护 的 重要 程度 和 防护 对 象 ,这 就 是 所 谓 的 安全 策略 。 安 全 策略 是 由 一 组 规则 组 成 
的 ,是 对 系统 中 所 有 与 安全 相关 元 素 的 活动 做 出 的 一 些 限制 。 

由 于 系统 安全 是 由 信息 安全 ,计算 机 安全 和 网 络 安全 组 成 的 ,在 本 节 中 ,将 依次 介绍 
这 3 个 方面 的 安全 策略 ,其 中 重点 是 网 络 安全 策略 。 


131 信息 安全 策略 


1. 信息 安全 策略 的 定义 


信息 安全 策略 是 一 组 规则 ,它们 定义 了 一 个 组 织 要 实现 的 安全 目标 和 实现 这 些 安全 
目标 的 途径 。 信 息 安全 策略 可 以 划分 为 两 个 部 分 .问题 策略 (issue policy) 和 功能 策略 
(functional policy)。 问 题 策略 描述 了 一 个 组 织 所 关心 的 安全 领域 和 对 这 些 领 域内 安全 
问题 的 基本 态度 。 功 能 策略 描述 如 何 解决 所 关心 的 问题 ,包括 制定 具体 的 硬件 和 软件 配 
置 规格 说 明 、 使 用 策略 以 及 雇员 行为 策略 。 信 息 安 全 策略 必须 有 清晰 和 完全 的 文档 描 
述 ,必须 有 相应 的 措施 保证 信息 安全 策略 得 到 强制 执行 。 在 组 织 内 部 ,必须 有 行政 措施 
保证 既定 的 信息 安全 策略 被 不 打折 扣 地 执行 ,管理 层 不 能 允许 任何 违反 组 织 信息 安全 策 
略 的 行为 存在 , 另 一 方面 ,也 需要 根据 业务 情况 的 变化 不 断 地 修改 和 补充 信息 安全 策略 。 


2. 信息 安全 策略 框架 


信息 安全 策略 框架 包括 以 下 内 容 : 

。 加 密 策略 。 描 述 组 织 对 数据 加 密 的 安全 要 求 。 

使 用 策略 。 描 述 设备 使 用 .计算 机 服务 使 用 和 雇员 安全 规定 .以 保护 组 织 的 信息 
和 资源 安全 。 

线路 连接 策略 。 描 述 诸如 传真 发 送 和 接收 、 模 拟 线 路 与 计算 机 连接 、 拨 号 连接 等 
反 病毒 策略 。 给 出 有 效 减 少 计算 机 病毒 对 组 织 威胁 的 一 些 指导 方针 ,明确 在 哪些 
环节 必须 进行 病毒 检测 。 

应 用 服务 策略 。 定 义 应 用 服务 提供 者 必须 遵守 的 安全 方针 。 

审计 策略 。 描 述 信息 审计 要 求 , 包 括 审 计 小 组 的 组 成 .权限 、 事 故 调查 、 安 全 风险 
估计 信息 安全 策略 符合 程度 评价 ,对 用 户 和 系统 活动 进行 监控 等 活动 的 要 求 。 
电子 邮件 使 用 策略 。 描 述 内 部 和 外 部 电子 邮件 接收 、 传 递 的 安全 要 求 。 
数据 库 策 略 。 描 述 存储 、 检 索 和 更 新 等 管理 数据 库 数据 的 安全 要 求 。 

非 军事 区 域 策 略 。 定 义 位 于 “ 非 军事 区 域 "(demilitarized zone) 的 设备 和 网 络 
分 区 。 


1 


纵 轴 代表 具有 保护 机 制 的 计算 机 系统 层次 。 


2. 
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第 三 方 的 连接 策略 。 定 义 第 三 方 接 入 的 安全 要 求 。 

敏感 信息 策略 。 对 于 组 织 的 机 密 信息 进行 分 级 ,按照 它们 的 敏感 度 描述 安全 
要 求 。 

内 部 策略 。 描 述 对 组 织 内 部 的 各 种 活动 安全 要 求 ,使 组 织 的 产品 服务 和 利益 受到 
充分 保护 。 

Internet 接 和 策略。 定义 在 组 织 防火 墙 之 外 的 设备 和 操作 的 安全 要 求 。 

口令 防护 策略 。 定 义 创建 ,保护 和 改变 口令 的 要 求 。 

远程 访问 策略 。 定 义 从 外 部 主机 或 者 网 络 连 接 到 组 织 的 网 络 进行 外 部 访问 的 安 
全 要 求 。 

路 由 器 安全 策略 。 定 义 组 织 内 部 路 由 器 和 交换 机 的 安全 配置 。 

服务 器 安全 策略 。 定 义 组 织 内 部 服务 器 的 安全 配置 。 

VPN 安全 策略 。 定 义 通 过 VPN 接 入 的 安全 要 求 

无 线 通信 策略 。 定 义 无 线 系统 接 人 的 安全 要 求 。 


132 计算 机 安全 策略 


计算 机 安全 策略 主要 研究 的 是 如 何 预防 和 检测 计算 机 系统 用 户 的 非 授 权 行为 。 换 
名 话说 ,计算 机 安全 是 关于 对 信息 和 资源 的 控制 访问 。 


计算 机 安全 的 结构 


一 个 完整 的 计算 机 系统 是 由 计算 机 硬件 .软件 、 应 用 程序 、 资 源 ( 主 体 ) 和 用 户 (客体 ) 
组 成 的 。 在 这 里 ,将 用 二 维 空间 结构 图 来 描 
述 计算 机 安全 的 结构 ,如 图 1-1 所 示 。 

在 图 1-1 中 , 横 轴 代表 安全 策略 的 重点 ， @ 

( 主 


控制 重点 


计算 机 安全 的 重点 是 保证 数据 的 完整 性 国 1-1 计算 机 安全 结构 困 
策略 ,可 以 用 下 列 规则 进行 描述 。 


数据 项 的 格式 和 内 容 。 比 如 ,一 条 规则 可 以 规定 账目 数据 库 中 的 余额 域 必须 包括 
一 个 整数 (典型 的 实例 是 ,银行 活期 存款 中 规定 一 张 存折 的 余额 不 能 小 于 1 元 )。 
这 个 规则 并 不 依赖 于 访问 数据 项 的 用 户 或 者 作用 在 数据 项 上 的 操作 。 

规定 作用 在 一 个 数据 项 上 所 有 可 能 的 操作 。 比 如 ,一 条 规则 可 以 规定 只 有 开户 、 
查询 余额 .取款 和 存款 操作 ,可 以 访问 账目 数据 库 中 的 余额 项 ,并 且 只 有 银行 工作 
人 员 人 允许 执行 “开户 ?操作 。 

规定 访问 一 个 数据 项 的 用 户 。 比 如 ,一 条 规则 可 以 规定 只 有 账户 的 持 有 者 和 银行 
工作 人 员 才 可 以 访问 账目 数据 库 。 


由 此 可 以 得 到 一 个 结论 ,计算 机 系统 的 安全 保护 策略 是 保护 计算 机 操作 系统 和 数据 
的 安全 。 
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3. 计算 机 系统 的 保护 机 制 


一 个 完整 的 计算 机 系统 应 由 硬件 ,操作 系统 、 服 务 ,应 用 程序 和 外 围 环境 组 成 。 可 以 
将 其 保护 机 制 想象 成 一 个 个 同心 圆 ,如 图 1-2 所 示 。 

从 图 1-2 可 看 出 ,计算 机 系统 的 保护 是 分 层次 的 ， 
比如 ,硬件 级 的 安全 保护 只 涉及 到 硬件 的 保护 ,而 涉及 
不 到 操作 系统 的 保护 , 反 过 来 说 ,操作 系统 层次 的 保护 
既 能 保护 操作 系统 层次 ,又 能 保护 硬件 层次 ,然而 ,操作 
系统 层次 的 保护 也 涉及 不 到 服务 层 及 应 用 层 的 保护 。 
从 而 可 以 得 到 一 个 结论 ,硬件 级 的 保护 级 别 最 低 , 而 应 
用 层 的 保护 级 别 最 高 ,也 就 是 说 , 当 考 虑 应 用 层 的 保护 
时 ,除了 要 考虑 保护 应 用 层 以 外 ,还 要 考虑 服务 层 、 操 作 

图 1-2 计算 机 系统 的 保护 机 制 ”系统 层 及 硬件 层 的 保护 。 另 外 ,恶劣 的 外 围 环境 (如 电 

压 不 稳定 .电磁 干扰 严重 、 机 房 潮 湿 . 机 房 有 火灾 隐患 

等 ) 会 导致 数据 的 损坏 .各 种 服务 不 能 正常 工作 ,甚至 造成 硬件 损坏 ,因此 ,外 围 环境 也 是 
计算 机 系统 安全 保护 最 重要 的 内 容 。 


4. 集中 式 控制 与 分 布 式 控制 


计算 机 系统 的 安全 策略 可 分 为 集中 式 控制 和 分 布 式 控制 两 种 ,所 谓 集中 式 控制 ,就 
是 将 计算 机 系统 所 有 安全 问题 都 集中 在 一 个 被 称 为 中 央 实 体 的 控制 中 心 进行 ,而 分 布 式 
控制 则 是 将 系统 安全 分 别 托付 给 系统 中 的 各 个 成 员 或 部 分 成 员 。 

集中 式 控制 的 优点 是 便于 安全 监测 和 管理 ,缺点 是 控制 中 心 容易 造成 瓶颈 。 鉴 此 ， 
在 实际 应 用 中 通常 使 用 的 是 分 布 式 控制 策略 , 它 能 有 效 地 解决 瓶颈 问题 ,但 值得 注意 的 
是 ,系统 中 不 同 成 员 之 间 的 策略 一 致 性 问题 。 


133 网 络 安全 策略 


网 络 安全 策略 的 目的 是 决定 一 个 计算 机 网 络 组 织 机 构 如 何 保护 企业 内 部 网 络 及 其 
信息 ,其 策略 通常 包括 两 部 分 内 容 , 总 体 策略 和 具体 的 规则 。 总 体 策 略 用 于 阐明 安全 策 
略 的 总 体 思想 ,而 具体 的 规则 用 于 说 明 什么 是 被 允许 的 ,什么 是 被 禁止 的 。 


1. 网 络 安全 策略 的 等 级 


通常 将 网 络 安全 策略 划分 成 如 下 4 个 等 级 : 

。 一 切 都 是 禁止 的 。 

"。 一 切 未 被 允许 的 都 是 禁止 的 。 

。 一 切 未 被 禁止 的 都 是 允许 的 。 

。 一 切 都 是 允许 的 。 

第 1 种 策略 是 最 高 保护 策略 ,其 实现 方法 是 切断 内 部 网 络 与 外 部 网 络 的 联系 。 这 种 
策略 能 有 效 地 防止 内 部 网 络 遭 受 外 来 的 攻击 ,但 也 把 内 部 网 络 与 外 界 隔绝 ,不 能 与 外 界 
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沟通 和 信息 交流 ,在 通常 情况 下 是 一 种 不 可 取 的 策略 。 

第 2 种 策略 是 开放 (人 允许) 部 分 有 限 的 资源 ,而 对 于 未 明确 开放 的 资源 ,是 禁止 访 
问 的 。 

第 3 种 策略 是 禁止 部 分 资源 的 访问 ,而 对 于 未 明确 禁止 的 资源 ,是 允许 访问 的 。 

第 4 种 是 没有 安全 保护 的 策略 ,其 实现 手段 是 把 内 部 网 络 的 全 部 资源 完全 对 外 开 
放 , 不 加 任何 保护 。 这 种 策略 通常 也 是 不 可 取 的 。 


2. 网 络 安全 策略 的 内 容 


一 个 实用 的 网 络 安全 策略 包括 下 述 内 容 : 

。， 网络 管理 员 的 安全 策略 。 该 策略 要 求 在 每 台 主 机 上 使 用 专门 的 安全 措施 ,登录 用 
户 名 称 ,监测 和 记录 过 程 等 ,还 可 以 限制 在 网 络 连接 中 所 有 的 主机 不 能 运行 应 用 
程序 。 

。 网 络 用 户 的 安全 策略 。 该 策略 要 求 用 户 每 隔 一 段 时 间 必 须 改 变 其 用 户 操作 口令 ; 
口令 必须 符合 安全 标准 形式 ;并 定时 或 不 定时 进行 检测 ,以 了 解 其 账户 是 否 被 别 
人 访问 过 。 

。 网 络 资源 的 安全 策略 。 该 策略 明确 规定 哪些 人 可 以 访问 网 络 资源 ,并 规定 哪些 资 
源 是 可 以 访问 的 ,哪些 资源 是 禁止 访问 的 。 

。 安全 检测 策略 。 该 策略 主要 用 于 当 检 测 出 安全 问题 时 的 应 急 处 理 措施 。 


3. 网 络 安全 机 制 


网 络 安全 机 制 有 身份 认证 机 制 、 授 权 机 制 . 访 问 控制 机 制 .数据 加 密 机 制 、 数 据 完整 
性 机 制 数字 签名 机 制 . 报 文 鉴别 机 制 .路 由 控制 机 制 和 业务 流 填充 机 制 等 。 

比如 “授权 机 制 " 是 针对 不 同 用 户 授 以 不 同 的 资源 访问 权限 的 一 种 安全 访问 机 制 。 
其 具体 内 容 如 下 : 

。 一 致 性 。 对 资源 的 控制 没有 二 义 性 ,各 种 定义 之 间 不 能 相互 冲突 。 

。 统一 性 。 对 所 有 资源 要 求 集 中 进行 管理 ,安全 策略 必须 统一 。 
审计 功能 。 对 所 有 授权 用 户 都 能 进行 审计 跟踪 检查 。 


习 要 1 


. 信息 安全 保密 的 内 容 是 什么 ? 
.信息 安全 内 容 有 哪儿 个 方面 ? 
. 信息 安全 的 特点 是 什么 ? 

. 计算 机 的 安全 机 制 是 什么 ? 
安全 管理 的 主要 功能 是 什么 ? 
网 络 安全 的 主要 技术 有 哪些 ? 
.网络 安全 策略 有 哪些 等 级 ? 
. 网络 安全 策略 的 内 容 是 什么 ? 


PAPIT 人 oir 


第 2 登 ehapter 2 | 
计算 机 环境 安全 技术 


21 环境 安全 概述 


计算 机 周边 环境 的 好 坏 直 接 影响 计算 机 及 其 外 围 设备 的 性 能 及 工作 ,也 直接 涉及 网 
络 设施 的 安全 ,因此 ,要 保护 计算 机 及 网 络 的 安全 ,环境 的 安全 是 至 关 重 要 的 。 

计算 机 环境 安全 的 内 容 有 计算 机 机 房 场地 温度, 湿度、 洁净 度 、 静 电 、 电 磁 干 扰 、 采 
光照 明和 噪声 等 的 安全 技术 ,本 章 将 逐步 加 以 介绍 。 


211 计算 机 机 房 安 全 


1. 计算 机 机 房 安 全 的 内 容 


计算 机 机 房 的 设备 防护 。 火 灾 及 防护 措施 、 机 房 的 防水 、 机 房 的 防 物理 、 化 学 、 生 
物 灾害 硬件 防盗 。 

计算 机 机 房 安全 供电 系统 。 供 电 故 障 对 计算 机 系统 的 影响 、 电 源 故 障 类 型 .供电 
系统 的 技术 要 求 .计算 机 系统 供 配 电 技 术 、 电 源 安全 要 点 。 

计算 机 机 房 安全 接地 系统 。 计 算 机 机 房 的 接地 种 类 及 其 作用 、 计 算 机 机 房 的 接地 
系统 .计算 机 接地 装置 的 安装 要 求 .接地 工艺 .接地 电阻 的 测量 。 


2. 机 房 位 置 


计算 机 设备 应 该 有 足够 的 摆 放 空间 ,可 以 放置 在 任何 一 层 楼 ,但 由 于 一 楼 太 潮 湿 、 顶 
楼 易 漏 雨 并 易 遭 受 雷击 ,所 以 ,机 房 不 宜 设 在 一 楼 和 项 楼。 

计算 机 设备 应 该 被 安放 在 拥有 坚固 结构 的 楼 层 , 具 有 多 重 安全 出 口 ,并 且 拥有 宛 余 
电力 供应 。 

环境 安全 结构 策略 还 要 考虑 到 的 是 宛 余 电力 供应 的 可 行 性 。 元 余 电力 供应 包括 为 
设备 提供 电力 的 电力 公司 ,不 间断 电源 UPS 以 及 一 切 与 之 相关 的 事项 。 策 略 必须 反映 
出 物理 和 经 济 现实 ,同时 也 要 考虑 到 对 保护 业务 运作 的 必要 条 件 。 


3. 锁 和 防护 设施 
如 果 要 确保 信息 被 存放 在 安全 的 房间 里 面 .就 不 能 不 考虑 门 和 其 他 防护 设施 。 破 旧 
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的 门 可 能 会 成 为 物理 安全 程序 中 的 脆弱 之 处 。 

防火 门 和 防火 设施 可 以 防止 或 减少 损失 ,它们 可 以 防止 外 面 的 火势 蔓延 到 屋内 ,也 
可 以 防止 屋 里 的 火 冲 到 屋外 , 火 可 能 在 扩散 之 前 就 炸 灭 了 。 这 些 门 应 该 是 密封 的 ,其 至 
可 以 考虑 用 自动 关闭 功能 的 门 ,这 样 可 以 更 有 效 地 防火 。 关 于 这 些 门 的 策略 不 仅 要 考虑 
到 它们 的 用 途 , 还 要 注意 这 些 门 不 能 长 期 保持 打开 状态 。 


4. 环境 支持 


环境 的 每 一 个 方面 都 可 以 有 对 应 的 策略 。 知 道 如 何 控制 静电 ,保持 适当 的 湿度 、 温 
度 和 空气 质量 。 


212 环境 保护 机 制 


在 制订 环境 保护 策略 前 ,应 首先 对 一 些 环境 或 措施 有 所 了 解 ,然后 针对 自身 的 情况 ， 
对 相关 的 策略 做 出 一 个 正确 的 定位 。 环 境 保护 涉及 到 的 主要 机 制 和 措施 由 空调 系统 、 防 
静电 和 防火 等 方面 构成 ,下 面 将 作 详 细 的 介绍 。 

放置 服务 器 的 区 域 应 该 有 足够 的 环境 控制 系统 ,包括 温度 和 湿度 控制 以 及 防止 静电 
的 有 效 措施 。 

1. 温度 


计算 机 系统 内 有 许多 元 器 件 ,不 仅 散热 量 大 而 且 对 高 温 、 低 温 非常 敏感 。 环 境 温度 
过 高 容易 引起 硬件 损坏 ,温度 太 低 时 ,有 些 设 备 工 作 不 正常 或 无 法 正常 启动 。 机 房 温度 
一 般 应 控制 在 冬季 (20 土 2)C 、 夏 季 (23 土 2)C ,温度 变化 率 三 5C/h。 


2. 湿度 


机 房 内 相对 湿度 过 高 会 使 电气 部 分 绝缘 性 降低 ,金属 锈蚀 加 快 ;而 相对 湿度 过 低 会 
引起 静电 的 积聚 ,使 计算 机 内 信息 丢失 、 损 坏 芯片 ,使 外 部 设备 工作 不 正常 等 。 机 房 内 的 
相对 湿度 一 般 控 制 在 (50 士 5)% 。 湿 度 控制 与 温度 控制 都 应 与 空调 联系 在 一 起 ,由 空调 
系统 集中 控制 。 机 房 内 应 安装 温 ,湿度 显示 仪 ,随时 观察 ,监测 。 


3. 粉尘 


计算 机 及 其 外 部 设备 是 精密 的 设备 ,磁头 的 缝隙 、 磁 头 与 磁盘 之 间 读 写 时 的 间隙 都 
非常 小 ,一 粒 小 小 的 尘埃 相对 这 个 间隙 就 像 是 一 座 大 山 , 它 会 影响 寻 道 的 准确 性 ,甚至 划 
伤 磁盘 ,严重 地 影响 计算 机 系统 的 正常 工作 。 因 此 ,机 房 必须 采取 一 定 的 除尘 、 防 尘 措 
施 , 以 保证 设备 稳定 地 工作 。 

机 房 内 一 般 应 采用 乙烯 类 材料 装修 ,避免 使 用 挂 毯 `. 地 毯 等 吸 竺 材料 。 人 员 进 出 门 
应 有 隔离 间 , 并 应 安装 吹 尘 、 吸 尘 设 备 ,排除 进入 人 员 所 带 的 灰尘 。 空 调 系 统 进 风口 应 安 
装 空气 滤 清 器 ,并 应 定期 清洁 和 更 换 过 滤 材 料 , 以 防 灰尘 进入 。 同 时 进 风 压力 要 大 ,房间 
要 密封 ,使 室内 空气 压力 高 于 室外 ,这 样 灰尘 不 会 进入 室内 。 

房 内 的 尘埃 要 求 低 于 0. 5nm; 对 于 开机 时 机 房 内 的 噪音 ,在 中 央 控制 台 处 测量 时 应 
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小 于 70dB。 
4. 其 他 


洁净 度 。 要 求 符合 标准 Ashrae 52 一 76 ,空气 中 大 于 0. 5nm 的 尘 粒 每 立方 米 应 少 于 
10 000 粒 。 

噪声 。 关 闭 主 设备 的 条 件 下 ,在 工作 人 员 正 常 办 公 位 置 处 测量 不 高 于 68dB。 

机 房 单位 面积 的 冷 负荷 为 257W/(m?h)。 

系统 控制 室 单位 时 间 换 气 数 之 23 次 /h。 

数据 中 心机 房 单位 时 间 换 气 数 宇 22 次 /h。 


22 环境 安全 保护 


221 空调 系统 


计算 机 房 内 空调 系统 是 保证 计算 机 系统 正常 运行 的 重要 设备 之 一 。 通 过 空调 系统 
使 机 房 的 温度 .湿度 和 洁净 度 得 到 保证 ,从 而 使 系统 能 正常 工作 。 重 要 的 计算 机 系统 安 
放 处 应 有 单独 的 空调 系统 ,计算 机 房 的 空调 较 一 般 的 空调 有 更 苛刻 的 要 求 。 它 应 具有 供 
风 .加热 ,冷却 , 减 湿 和 空气 除尘 的 能 力 。 

空调 系统 的 送 风量 应 取 下 列 3 种 数据 中 的 最 大 值 。 

。 室内 总 送 风 量 的 5%。 

。 按 工作 人 员 每 人 40ms/h。 

。 维持 室内 正 压 所 需 风量 。 

主机 房 的 空调 送 风 系统 ,应 设 初 效 、 中 效 两 级 空气 过 滤器 ,中 效 空气 过 滤器 计数 效率 
应 大 于 80% ,未 级 过 滤 装 置 宜 设 在 正 压 端 或 送 风口 。 

主机 房 在 冬季 需 送 冷风 时 ,可 取 室 外 新 风 作 冷风 源 。 

计算 机 机 房 空 气 调节 控制 装置 应 满足 计算 机 系统 对 温度 ` 湿 度 以 及 粉尘 对 正 压 的 

空调 设备 的 选择 如 下 : 
空调 设备 的 选用 应 符合 运行 可 靠 、 经 济 和 节能 的 原则 。 
空调 系统 应 设 消 声 装置 。 
空调 系统 和 设备 选择 应 根据 计算 机 类 型 .机房 面积 发 热量 及 对 温 、 湿 度 和 空气 含 
侍 浓 度 的 要 求 综合 考虑 。 
空调 冷冻 设备 宜 采用 带 风 冷 冷凝 器 的 空调 机 。 当 采用 水 冷 机 组 时 ,对 冷却 水 系统 
冬季 应 采取 防冻 措施 。 
空调 和 制冷 设备 宜 选用 高 效 、 低 噪声 、 低 振动 的 设备 。 
空调 制冷 设备 的 制冷 能 力 . 应 留 有 15%~~20% 的 余 量 。 
当 计 算 机 系统 需 长 期 连续 运行 时 ,空调 系统 应 有 备用 装置 。 
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222 防 静 电 措施 


静电 是 由 物体 间 的 相互 摩擦 、 接 触 而 产生 的 ,老式 计算 机 显示 器 也 会 产生 很 强 的 静 
电 。 静 电 产 生 后 ,由 于 未 能 释放 而 保留 在 物体 表面 ,会 有 很 高 的 电位 ,从 而 产生 静电 放电 
火花 ,严重 时 会 造成 火灾 。 还 可 能 使 大 规模 集成 电器 损坏 ,而 这 种 损坏 可 能 会 在 不 知 不 
觉 中 进行 。 

为 避免 静电 的 影响 ,最 基本 的 措施 是 接地 ,将 物体 积聚 的 静电 迅速 释放 到 大 地 。 为 
此 ,机 房 地 板 基体 (或 全 部 ) 应 为 金属 材料 并 接 大 地 ,使 人 或 设备 在 其 上 运动 产生 的 静电 
随时 可 释放 出 去 。 机 房 内 的 专用 工作 台 或 重要 的 操作 台 应 有 接地 平板 ,必要 时 ,每 人 可 
带 一 个 金属 手 环 ,通过 导线 与 接地 平板 连接 。 此 外 ,工作 人 员 的 服装 和 鞋 最 好 用 低 阻 值 
的 材料 制作 ,机 房 内 避免 湿度 过 低 , 在 北方 干燥 季节 应 适当 加 湿 , 以 免 产 生 静 电 。 

对 于 防 静 电 直 接 有 效 的 策略 应 为 : 任何 人 员 进 入 防 静 电 区 域 前 ,必须 在 手 上 或 鞋 上 
加 带 防 静电 导电 环 。 


223 机 房 防火 机 制 


计算 机 房 的 火灾 一 般 是 由 于 电气 原因 、 人 为 事故 或 外 部 火灾 蔓延 引起 的 。 电 气 设 备 
和 线路 会 因为 短路 、 过 载 接触 不 良 、 电 线 老化 .绝缘 层 破坏 或 静电 等 原因 引起 电 打 火 而 
引起 火灾 。 人 为 事故 是 指 由 于 操作 不 慎 , 吸 烟 、 乱 扔 烟头 等 ,使 充满 易 燃 物质 (如 纸 片 、 磁 
带 和 胶片 等 ?的 机 房 起 火 。 外 部 火灾 蔓延 是 因 外 部 房间 或 其 他 建筑 物 起 火 而 蔓延 到 机 房 
而 引起 机 房 起 火 。 

为 避免 火灾 ,应 在 安全 策略 中 标明 以 下 防火 机 制 。 


1. 分 区 隔离 


建筑 内 的 机 房 四 周 应 设计 为 一 个 隔离 带 ,以 使 外 部 的 火灾 至 少 可 隔离 1 小 时 。 系 统 
中 特别 重要 的 设备 ,如 微 处 理 器 、 媒 体 库 等 ,尽量 与 人 员 频 繁 出 入 的 区 域 和 堆积 易 燃 物 
(如 打印 纸 ) 的 区 域 隔离 。 所 有 机 房 门 应 为 防火 门 , 外 层 应 有 金属 蒙 皮 。 计 算 机 房 内 部 应 
由 阻 燃 材料 装修 。 


2. 火灾 报警 系统 


火灾 的 发 展 有 3 个 阶段 ,发 烟 阶 段 、 火 焰 扩 散 阶 段 和 热 辐 射 扩散 阶段 。 火 势 的 蔓延 
主要 是 通过 热 辐射 扩散 进行 的 。 当 火势 发 展 到 热 辐射 扩散 阶段 时 ,机 房 的 温度 就 已 达到 
使 计算 机 和 存储 介质 遭 到 破坏 的 程度 了 。 因 此 ,火灾 报警 系统 的 作用 是 在 火灾 初期 就 能 
检测 到 并 及 时 发 出 警报 。 

火灾 报警 系统 按 传感器 的 不 同 分 为 烟 报警 和 温度 报警 两 种 类 型 。 烟 报警 器 可 在 火 
灾 开 始 的 发 烟 阶段 就 会 检测 出 ,并 发 出 警报 ,可 使 火灾 及 时 被 发 现 。 而 热 敏 式 温度 报警 
器 是 在 火焰 发 生 、 温 度 升 高 后 发 出 报警 信号 。 近 年 来 还 开发 出 一 种 新 型 的 CO; 探测 报警 
器 , 它 可 以 在 发 烟 初 期 即 可 探测 到 火灾 的 发 生 ,避免 损失 . 且 可 避免 人 员 因 缺 氧 而 死亡 。 
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为 安全 起 见 ,机房 应 配备 多 种 报警 系统 ,并 保证 在 断 电 后 24 小 时 之 内 仍 可 发 出 警 
报 。 报 警 器 为 音响 或 灯光 报警 ,一 般 安放 在 值班 室 或 人 员 集 中 处 ,以 便 工作 人 员 及 时 发 
现 并 向 消防 部 门 报告 ,组 织 人 员 朴 散 等 。 


3. 灭火 设施 


机 房 所 在 楼 层 应 有 消防 栓 和 必要 的 灭火 器 材 和 工具 ,这 些 物 品 应 具有 明显 的 标记 ， 
且 需 定期 检查 。 这 些 器 材 和 工具 包括 : 

。 灭 火器。 虽然 机 房 建 筑 内 要 求 有 自动 喷 淋 、 消 防 供水 系统 和 各 种 灭火 器 ,但 并 不 
是 任何 机 房 火 灾 都 要 自动 喷 淋 ,有 时 对 设备 的 二 次 污染 破坏 比 火灾 本 身 造成 的 损 
坏 更 为 严重 。 因 此 ,推荐 使 用 不 会 造成 二 次 污染 的 气体 灭火 器 。 如 不 具备 条 件 ， 
也 可 使 用 CO: 灭火 器 。 

。 灭火 工具 及 辅助 设备 。 应 急 工具 应 有 液压 千斤 项. 手提 式 锯 、 铁 铁 . 挪 头 和 援 木 等 。 

必要 时 ,还 应 准备 应 急 自 呼吸 器 和 应 急 灯 等 。 


4. 管理 措施 


要 严格 执行 计算 机 房 环境 和 设备 维护 的 各 项 规章 制度 ,加 强 对 火灾 隐患 部 位 的 检 
查 。 如 电源 线路 要 经 常 检 查 是 否 有 短路 处 ,防止 出 现 火 花 引 起 火灾 。 对 老化 的 电气 线路 
要 及 时 更 新 ,要 制定 灭火 的 应 急 计划 并 对 所 属 人 员 进 行 培 训 。 此 外 ,还 应 定期 对 防火 设 
施 和 工作 人 员 的 掌握 情况 进行 测试 。 

计算 机 系统 实体 发 生 重大 事故 时 ,为 尽 可 能 减少 损失 ,应 制定 应 急 方案 。 建 立 应 急 
方案 时 应 考虑 到 对 实体 的 各 种 威胁 ,以 及 每 种 威胁 可 能 造成 的 损失 等 。 在 此 基础 上 , 制 
定 对 各 种 灾害 事件 的 响应 程序 ,规定 应 急 措施 ,使 损失 降 到 最 低 限 度 。 


5. 制订 环境 防火 策略 


根据 上 述 4 点 防火 机 制 ,制订 出 有 效 的 防火 安全 策略 。 通 过 策略 ,能 够 将 火灾 的 隐 
患 减 到 最 低 。 针 对 于 防火 的 安全 策略 ,可 以 参考 以 下 描述 。 

。 办 公 区 域 按 建 筑 要求 划 分 出 明确 的 防火 分 区 ,并 醒目 地 标明 逃生 通道 。 

。 由 专人 负责 建立 防火 预案 .报警 预案 .疏散 预案 与 灭火 预案 。 

。 必须 有 人 员 对 防火 报警 系统 进行 7X24( 每 周 7 天 ,每 天 24 小 时 ) 的 监视 ,如 发 现 
系统 报警 ,严格 执行 火灾 报警 预案 。 

。 所 有 人 员 应 该 熟悉 消防 器 材 的 放置 位 置 , 在 有 紧急 情况 时 ,保证 能 迅速 启用 消 火 
栓 或 消防 器 材 。 

。 定期 对 所 有 人 员 进 行 防火 知识 培训 ,定期 审查 每 个 部 门 的 防火 情况 。 


224 电源 干扰 与 保护 装置 


电源 是 计算 机 系统 正常 工作 的 重要 因素 。 供 电 设备 容量 应 有 一 定 的 储备 ,所 提供 的 
功率 应 是 全 部 设备 负载 的 125% 以 上 。 计 算 机 房 设备 应 与 其 他 用 电 设备 隔离 ,它们 应 为 
变压器 输出 的 单独 一 路 而 不 与 其 他 负载 共享 一 路 。 在 安全 策略 中 关于 电源 部 分 的 描述 
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应 该 参照 以 下 内 容 来 制订 。 
1. 电源 干扰 


常用 的 电源 线 干扰 有 6 类: 中 断 、 异 常 状 态 、 电 压 瞬 变 、 冲 击 、 噪 声 和 突然 失效 事件 。 

1) 中 断 

电源 三 相 线 中 任何 一 相 或 多 相 因 故障 而 停止 供电 为 中 断 , 长 时 间 中 断 即 为 关闭 。 

2) 异常 状态 

连续 电压 过 载 或 连续 低 电压 为 异常 状态 。 在 一 段 时 间 内 连续 电压 不 足 可 能 是 因为 
个 别 负载 过 大 而 形成 的 降 压 。 

3) 电压 瞬 变 

瞬 变 浪 涌 是 在 几 个 正弦 波 范围 内 ,电压 幅 值 快速 增加 ; 瞬 变 下 跌 也 是 在 几 个 正弦 波 
范围 内 ,电压 幅 值 快速 降低 。 

4) 冲击 

冲击 又 称 瞬 变 脉冲 或 尖峰 电压 ,是 指 0.5 一 100ws 内 过 高 或 过 低 的 电压 。 尖 峰 一 般 
指 瞬 时 电压 超过 400V ,而 下 垂 电 压 指 瞬 时 向 下 的 窄 脉冲 。 

5) 噪声 

电磁 干扰 是 由 电源 线 发 射 产生 的 电磁 噪声 干扰 ,射频 干扰 是 发 射频 率 不 小 于 30kHz 
时 的 电磁 干扰 。 

6) 突然 失效 事件 

突然 失效 事件 指 由 核 爆炸 或 雷击 引起 快速 升 起 的 电磁 脉冲 冲击 ,致使 设备 失效 。 


2. 电源 保护 装置 


电源 保护 装置 有 金属 氧化 物 可 变 电 阻 (MOV)、 硅 二 极 管 (SAZD), 气 体 放 电 管 
(GDT) ,滤波 器 ,电压 调整 变压器 (VRT) 和 不 间断 电源 (UPS) 等 。 

金属 氧化 物 可 变 电 阻 可 吸收 尖峰 和 冲击 电压 ,工作 时 间 为 1 一 5ns。SAZD 和 GDT 
可 使 浪 涌 和 尖峰 电压 分 流 ,从 而 保护 电路 。SAZD 的 工作 速度 快 ,但 不 能 处 理 大 的 浪 涌 ; 
GDT 能 处 理 大 的 浪 涌 , 但 工作 速度 较 慢 。 滤 波 器 通过 保护 电路 使 噪声 分 流 , 使 浪 涌 训 
减 。VRT 可 在 秒 级 进行 异常 状态 保护 。 后 备 UPS 可 保护 系统 ,避免 断 电 、 电 源 故 障 、 供 
电 不 足 和 其 他 低 电压 状态 的 影响 。 连 续 工 作 的 UPS 可 使 计算 机 不 受 电源 的 影响 ,保护 
它们 避免 灾难 性 干扰 。 避 和 雷 针 和 浪 涌 滤 波 器 可 帮助 抵抗 强 电 磁 脉 囊 。 此 外 ,安装 设备 时 
应 使 之 远离 建筑 的 金属 结构 ,以 避免 雷击 影响 。 


3. 紧急 情况 供电 


重要 的 计算 机 房 应 配置 抵抗 电压 不 足 (电源 下 跌 ) 的 设备 ,这 种 设备 有 如 下 几 种 : 

1) 基本 UPS 

基本 的 不 间断 电源 UPS 一 般 可 提供 15 分 钟 以 上 的 应 急 供电 ,这 个 时 间 可 以 使 机 房 
人 员 在 断 电 时 应 急 工 作 。 供 电 时间 的 长 短 依赖 于 蓄电池 的 容量 大 小 。 基 本 的 UPS 包括 
一 个 整流 器 部 件 , 它 可 使 AC 电源 整流 并 不 间断 地 使 电池 充电 。 这 个 电池 组 在 断 电 时 ,可 
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驱动 转换 器 向 机 房 设备 供电 。 

2) 改进 的 UPS 

基本 的 UPS 经 改进 后 ,增加 了 一 个 UPS 和 AC 电源 间 的 转换 器 。 这 样 , 当 恢复 AC 
供电 时 ,UPS 就 可 自动 切换 到 AC 电源 供电 ,而 不 必 由 电 池 继 续 供 电 。 用 这 种 方法 可 减 
少 电池 供电 时 间 , 延 长 电池 寿命 。 

3) 多 级 UPS 

安装 多 个 单独 的 UPS, 使 系统 通过 UPS 可 长 时 间 连 续 工作 。 这 种 方式 下 ,每 个 UPS 
都 要 求 有 较 大 容量 (100KW) , 当 一 个 UPS 出 现 问题 时 , 仍 可 继续 供电 ,从 而 有 效 地 保护 
系统 。 在 特别 重要 的 场合 ,应 考虑 这 种 措施 。 

4) 应 急电 源 

应 急电 源 主 要 是 通过 一 个 发 电机 组 提供 紧急 供电 。 在 断 电 时 启动 发 电机 供电 ,可 为 
系统 提供 较 长 时 间 的 紧急 供电 ,但 它 需要 有 自己 的 燃料 支持 。 应 急电 机 对 最 重要 的 设备 
提供 支持 ,这 包括 空调 、 最 必需 的 计算 机 、 照 明灯 、 报 警 系统 和 通信 设备 。 


4. 电源 保护 策略 


针对 电源 安全 策略 ,可 以 参考 以 下 描述 。 
。 电 源 稳定 的 情况 下 ,由 各 部 门 提出 重要 设备 ,可 以 申请 加 装 UPS 电源 。 
。 电源 不 稳定 情况 下 ,包括 各 种 不 稳定 因素 ,所 有 接 电 设备 加 装 UPS 电源 。 


225 机 房 防 雷 措施 


1. 接地 机 制 


接地 指 系统 中 各 处 电位 均 以 大 地 为 参考 点 ,大 地 电位 为 零 电 位 。 接 地 可 以 为 计算 机 
系统 的 数字 电路 提供 一 个 稳定 的 电位 (0V) ,可 以 保护 设备 和 人 身 的 安全 ,同时 也 是 避免 
电磁 信息 泄露 必 不 可 少 的 措施 。 


2. 地 线 种 类 


1) 保护 地 

计算 机 系统 内 的 所 有 电气 设备 ,包括 辅助 设备 和 外 壳 均 应 接地 。 因 为 电气 设备 的 电 
源 线 绝缘 层 被 破坏 或 偶然 接触 时 ,设备 的 外 壳 可 能 带电 , 极 易 造 成 人 身 和 设备 事故 ,必须 
将 外 壳 接 地 ,以 使 外 壳 上 积聚 的 电荷 迅速 排放 到 地 上 。 

2) 直流 地 

直流 地 又 称 罗 辑 地 ,是 计算 机 系统 的 逻辑 参考 地 , 即 计算 机 系统 中 数字 电路 的 低 电 
位 参考 地 。 数 字 电 路 只 有 1 和 0 两 种 状态 .1 代表 高 电位 ,0 代表 低 电 位 或 “ 零 " 电 位 ,其 
电位 差 只 有 3 一 5V。 随 着 超大 规模 集成 电路 的 发 展 ,电位 差 越 来 越 小 ,对 逻辑 地 的 接地 
要 求 也 越 来 越 高 。 因 为 逻辑 地 (0V) 电 位 的 变化 直接 影响 到 数据 的 准确 性 。 直 流 地 的 阻 
值 一 般 要 求 不 大 于 29 ,大 型 主机 房 的 直流 地 的 阻 值 要求 小 于 1Q。 
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3) 屏蔽 地 

为 避免 信息 处 理 设备 的 电磁 干扰 ,防止 电磁 信息 泄露 ,重要 的 设备 和 重要 的 机 房 都 
要 采取 屏蔽 措施 , 即 用 金属 体 来 屏 项 设备 和 机 房 。 这 种 金属 体 称 为 屏蔽 机 柜 或 屏蔽 室 。 
屏蔽 体 需 要 与 大 地 相连 ,形成 电流 通路 ,为 屏 项 体 上 的 电荷 提供 一 条 低 阻 抗 的 流放 通路 。 
屏蔽 效能 的 好 坏 与 屏蔽 体 的 接地 密切 相关 ,一 般 屏蔽 地 的 地 阻 要 求 低 于 4Q。 

4) 静电 地 

机 房 内 人 体 本 身 . 人 体 在 机 房 内 的 运动 .设备 的 运行 等 均 可 产生 静电 。 人 体 带 有 的 
静电 有 时 是 很 高 的 ,可 达 1000V 以 上 ,这 时 人 体 与 设备 或 元 器 件 导 电 部 分 直接 接触 极 易 
造成 设备 损坏 。 而 设备 运行 中 产生 的 静电 干扰 则 会 引起 机 械 、 读 写 错 误 等 故障 。 为 避免 
静电 的 影响 , 除 可 采取 管理 方面 的 措施 ,如 测试 人 体 静 电 、 接 触 设备 前 先 触摸 地 线 、 泄 放 
电荷 .保持 室内 一 定 的 温度 等 外 ,还 应 采取 防 静 电 地 板 等 措施 以 使 设备 运行 中 产生 的 静 
电 随 时 释放 。 

5) 雷击 地 

雷击 具有 很 大 的 能 量 ,雷击 产生 的 瞬间 电压 可 高 达 10 万 伏 以 上 。 单 独 建设 的 机 房 
或 机 房 所 在 的 建筑 物 ,必须 设置 专门 的 雷击 保护 地 ,以 防止 雷击 产生 的 设备 和 人 身 事故 。 
应 将 具有 良好 导电 性 能 和 一 定 机 械 强 度 的 避雷 针 安置 在 建筑 物 的 最 高 处 , 引 下 导线 接 到 
地 网 或 地 桩 上 ,形成 一 条 最 短 的 、 牢 固 的 对 地 通路 , 即 雷击 地 线 。 


3. 接地 系统 


计算 机 房 的 接地 系统 是 指 计算 机 系统 本 身 和 场地 的 各 种 接地 设计 和 具体 实施 。 

1) 各 自 独立 的 接地 系统 

这 种 接地 系统 主要 考虑 直流 地 ,交流 地 .保护 地 、 屏 项 地 和 雷击 地 等 有 各 自 的 作用 ， 
为 了 避免 相互 干扰 ,分 别 通过 地 网 或 接地 桩 接 到 大 地 。 这 种 方案 虽然 理论 上 可 行 ,但 实 
施 起 来 难度 是 很 大 的 。 理 想 的 情况 下 ,各 地 线 之 间 要 有 一 段 距 离 。 如 果 远 离 机 房 , 引 线 
太 长 ,不仅 会 造成 地 阻 太 大 ,而 且 会 引入 干扰 。 而 围绕 机 房 四 周 埋设 几 个 地 网 , 因 有 道 
路 ,建筑 和 地 下 水 管 等 ,很 难 满足 要 求 ,而 且 建 几 个 地 网 的 投资 也 是 很 大 的 ,在 实际 工程 
中 很 难 做 到 。 

2) 交 、 直 流 分 开 的 接地 系统 

这 种 接地 系统 将 计算 机 的 迎 辑 地 和 雷击 地 单独 接地 .其 他 接地 共 地 。 这 既 可 使 计算 
机 工作 可 靠 ,又 可 减少 一 些 地 线 。 但 这 样 仍 需 要 3 个 单独 的 接地 体 , 无 论 从 接地 体 的 埋 
设 场地 考虑 ,还 是 从 投资 和 施工 难度 考虑 ,都 是 很 难 承受 的 。 这 种 方案 在 国内 一 些 大 型 
计算 中 心 的 建设 中 曾 采 用 过 ,而 一 般 微 机 机 房 很 少 采 用 。 

3) 共 地 接地 系统 

共 地 接地 系统 的 出 发 点 是 除 雷 击 地 外 ,只 建 一 个 接地 体 ,此 接地 体 的 地 阻 要 小 ,以 保 
证 释放 电荷 迅速 排放 到 大 地 。 而 计算 机 系统 的 直流 地 ,保护 地 和 屏蔽 地 等 在 机 房 内 单独 
接 到 各 自 的 接地 母线 上 , 自 成 系统 ,再 分 别 接 到 室外 的 接地 体 上 。 

这 种 接地 的 优点 是 减少 了 接地 体 的 建设 ,各 地 之 间 独 立 , 不 会 产生 相互 干扰 。 其 缺 
点 是 直流 地 (逻辑 地 ) 与 其 他 地 线 共 用 , 易 受 其 他 信号 干扰 。 目 前 这 种 接地 系统 广泛 用 于 
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微机 机 房 ,国外 已 推广 应 用 到 小 型 机 房 。 

4) 直流 地 ,保护 地 共用 地 线 系统 

这 种 接地 系统 的 直流 地 和 保护 地 共用 接地 体 , 屏 项 地 、 交 流 地 .雷击 地 单独 埋设 。 它 
主要 考虑 的 是 ,许多 计算 机 系统 内 部 已 将 直流 地 和 保护 地 连 在 一 起 ,对 外 只 有 一 条 引线 ， 
在 这 种 情况 下 ,直流 地 与 保护 地 分 开 已 无 实际 意义 。 由 于 直流 地 与 交流 地 分 开 , 因 此 使 
计算 机 系统 仍 具 有 较 好 的 抗 干扰 能 力 。 这 种 接地 方式 在 国内 外 均 有 广泛 应 用 。 


4. 建筑 物 内 共 地 系统 


随 着 城市 高 层 建 筑 群 的 不 断 增多 ,建筑 物 内 各 种 设备 和 供电 系统 、 通 信 系统 的 接地 
问题 越 来 越 突出 。 一 方面 ,建筑 高 层 化 、 密 集 化 ,接地 设备 多 、 要 求 高 ; 另 一 方面 高 层 建 筑 
附近 又 不 可 能 有 足够 的 场地 构造 地 线 接地 体 。 这 就 使 建筑 物 内 共 地 系统 的 方案 呼 之 欲 
出 。 高 层 建筑 目前 基础 施工 都 是 先 打桩 , 整 栋 建筑 从 下 到 上 都 有 钢筋 基础 。 由 于 这 些 钢 
筋 基 础 很 多 , 且 连 成 一 体 ,深入 到 地 下 漏水 层 ,同时 各 楼 层 钢筋 均 与 地 下 钢筋 相连 ,作为 
地 线 地 阻 很 小 。 正 由 于 地 阻 很 小 ,将 计算 机 房 及 各 种 设备 的 地 线 共用 建筑 地 ,从 理论 上 
讲 不 会 产生 相互 干扰 ,从 实际 应 用 看 也 是 可 行 的 。 它 具有 投资 少 、 占 地 少 、 阻 值 稳定 等 特 
点 ,符合 城市 建筑 的 发 展 趋势 。 


5. 接地 保护 策略 
聘请 专业 人 员 对 办 公 区 域 的 接地 情况 作 定 期 的 检查 。 


226 安全 监控 技术 


机 房 安全 监控 通常 使 用 的 是 闭路 电视 监控 系统 。 闭 路 电视 监控 系统 是 安全 技术 防 
范 体 系 中 的 一 个 重要 组 成 部 分 ,是 一 种 先进 的 、 防 范 能 力 极 强 的 综合 系统 , 它 可 以 通过 于 
控 摄 像 机 及 其 辅助 设备 (镜头 、 云 台 等 ) 直 接 观 看 被 监视 场所 的 一 切 情况 ,可 以 将 被 监视 
场所 的 情况 一 目 了 然 。 同 时 ,电视 监控 系统 还 可 以 与 防盗 报警 系统 等 其 他 安全 技术 防范 
体系 联动 运行 ,使 其 防范 能 力 更 加 强大 。 

闭路 监控 系统 能 在 人 们 无 法 直接 观察 的 场合 ,实时 、 形 象 真 实地 反映 被 监视 控制 对 
象 的 画面 ,并 已 成 为 人 们 在 现代 化 管理 中 监控 的 一 种 极为 有 效 的 观察 工具 。 由 于 它 具 有 
只 需 一 人 在 控制 中 心 操作 就 可 观察 许多 区 域 ,并 具有 远 距 离 区 域 的 监控 功能 ,被 认为 是 
保安 工作 之 必要 手段。 

一 个 完善 的 安全 监控 系统 应 由 下 列 技术 组 成 : 


1. CCTV 监控 系统 


根据 不 同 的 用 途 选 择 合适 的 系统 配置 ,CCTV 监控 系统 能 够 满足 多 方面 的 需求 。 
。 室外 云 台 。 除 具备 室内 云 台 所 有 的 功能 外 还 具有 防水 、 防 爆 功能 。 

。 半球 形 彩色 /黑白 摄像 机 。 吊 项 式 安装 ,外形 美 观 , 适 用 于 各 种 场合 。 

。 彩色 监视 器 。 用 于 显示 前 端 。 

。 彩色 摄像 机 的 视频 画面 。 
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时 序 切换 系统 。 在 一 台 监视 器 上 依次 切换 显示 多 个 摄像 机 的 图 像 ,可 以 进行 重点 
的 切换 画面 显示 ,切换 时 间 可 以 调整 。 即 使 摄像 机 数量 增加 ,监视 器 也 不 必 增 加 ， 
所 以 该 系统 可 以 节约 成 本 ,非常 经 济 。 

数字 分 割 系统 。 把 一 台 监视 器 的 画面 多 分 割 以 同时 显示 4 一 16 个 摄像 机 的 图 像 ， 
只 需 一 人 就 能 够 同时 监视 多 个 场所 的 现场 情况 。 所 有 摄像 机 图 像 可 以 编程 成 组 
或 切换 在 1 台 高 清晰 度 监视 器 上 同时 分 割 显示 .也 可 以 自由 切换 选择 按 顺 序 单 独 
显示 或 设置 为 4 分 割 或 9 分割 等 显示 状态 。 系 统 中 的 重点 摄像 机 图 像 送 入 一 台 
16 画面 处 理 器 并 由 一 台 24 小 时 录像 机 使 用 一 盒 普 通 180 分 钟 录像 带 实 时 录像 ， 
录像 可 以 回放 ,以 便 为 管理 提供 证 据 。 

远 距离 操作 摄像 机 放大 系统 。 全 方位 旋转 云 台 彩色 32 倍 变焦 摄像 机 ,通过 系统 
控制 键盘 的 操作 可 以 实现 摄像 机 图 像 上 下 左右 旋转 扫描 ,对 摄像 机 云 台 转 向 、 镜 
头 焦距 和 镜头 光圈 等 进行 遥控 操作 , 远 距 离 捕捉 现场 物体 的 全 景 和 放大 后 的 细 
节 , 放 大 倍数 可 以 预定 。 

数字 式 彩 色 摄像 机 。 具 有 自动 电子 快门 .自动 跟踪 .背光 补偿 及 彩色 还 原 准确 等 
功能 。 


2. 闭路 监控 系统 


闭路 监控 系统 主要 由 以 下 几 个 部 分 组 成 : 

。 产生 图 像 的 摄像 机 或 成 像 装 置 。 

。 图 像 的 传输 与 控制 设备 。 

。 图 像 的 处 理 与 显示 设备 。 

闭路 电视 监控 系统 的 技术 要 求 主要 是 摄像 机 的 清晰 度 、 系 统 的 传输 带宽 ,视频 信号 
的 信 品 比 、 电 视 信 号 的 制式 ,摄像 机 达到 较 高 画 质 和 操作 的 功能 以 及 系统 各 器 件 的 环境 
适应 度 。 


3. 画面 处 理 器 


画面 处 理 器 能 够 同时 在 一 台 显示 器 上 显示 1 一 16 个 画面 ,用 一 台 录 像 机 录 完 1 一 16 
个 画面 的 信号 。 


4. 专业 录像 机 


专业 录像 机 主要 由 以 下 几 个 部 分 组 成 : 

具有 24 小 时 的 长 延 时 录像 功能 、 回 放 画 面 清晰 的 视频 切换 器 。 
。 自动 视频 切换 器 ,用 于 视频 信号 的 顺序 切换 。 

保护 单 \ 支 架 。 

。 云 台 镜头 .控制 器 。 

矩阵 系统 键盘 矩阵 系统 主机 。 

”解码 器 。 
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23 机 房管 理 制度 及 人 员 管 理 


231 机 房管 理 制度 


保持 机 房 内 的 清洁 卫生 ,上 机 人 员 不 得 在 机 房 内 吃 零食 、 随 地 吐 痰 、 大 声 喧哗 、 乱 扔 
杂 物 ,机 房 内 严禁 吸烟 。 

为 防止 病毒 感染 ,破坏 其 内 部 文件 及 数据 ,严禁 任何 人 私自 带 软盘 .光盘 、U 盘 进 入 
机 房 操作 。 

操作 人 员 要 严格 遵守 计算 机 操作 规程 ,不 得 在 键盘 .鼠标 上 胡乱 掀 按 ,以 免 冲 乱 系 
统 ,丢失 数据 ,损坏 机 器 。 

操作 人 员 未 经 允许 不 得 随意 将 盘 片 或 软件 进行 复制 .备份 。 不 得 将 机 房 内 的 资料 随 
意 带 出 机 房 。 

在 对 数据 库 作 任何 维护 之 前 ,输入 的 重要 数据 文件 应 先 备份 再 维护 。 定 期 进行 备份 
处 理 ,防止 意外 丢失 。 所 有 数据 每 天 都 必须 做 好 备份 工作 ,妥善 保存 备份 数据 ,定期 作 系 
统 和 数据 备份 。 

在 使 用 软件 时 ,必须 使 用 通过 正当 渠道 购买 或 得 到 的 软件 ,在 使 用 前 必须 先进 行 病 
毒 检测 。 机 房管 理 人 员 应 对 计算 机 房 的 系统 定期 进行 病毒 检测 。 

涉及 国家 机 密 的 计算 机 信息 系统 ,不 得 直接 或 间接 地 与 国际 互联 网 或 其 他 公共 信息 
网 络 相 连接 ,必须 实行 物理 隔断 。 涉 及 秘密 的 统计 资料 和 信息 不 得 在 与 国际 互联 网 相连 
的 计算 机 信息 系统 中 存储 、 处 理 和 传递 。 

计算 机 设备 和 机 房 应 保持 其 工作 环境 整洁 ,保持 其 所 必须 的 湿度 。 

计算 机 房 应 列 为 单位 要 害 和 重点 防火 部 门 , 按 照 规定 配备 足够 数量 的 消防 器 材 ,机 
房 工作 人 员 要 熟悉 机 房 消防 器 材 的 存放 位 置 及 使 用 方法 ,并 定期 检查 更 换 。 

严禁 带电 拔 、 插 各 种 接口 插头 .不 得 私自 拆 印 机 器 、 机 内 主要 器 件 应 编号 存档 。 


232 机 房 人 员 管理 


加 强 对 机 房管 理 人 员 尤 其 是 网 络 管理 员 的 素质 教育 和 职业 道德 教育 ,定期 对 机 房管 
理 人 员 进 行 安全 及 保密 教育 。 

机 房管 理 人 员 及 机 房 计算 机 操作 人 员 要 坚定 防范 计算 机 病毒 的 思想 ,杜绝 计算 机 病 
毒 的 输入 、 扩 散 和 传播 行为 。 

严禁 管理 人 员 越 权 操作 ,对 重要 的 计算 机 信息 处 理 系 统 应 分 级 加 设 系统 口令 ,以 防 
机 密 信 息 的 泄露 。 

调 离 人 员 必 须 移 交 全 部 技术 资料 和 有 关 文 档 , 删 除 自己 的 文件 ,账号 ,由 系统 管理 员 
修改 有 关 的 口令 。 


am mw 


sO 计算 机 环境 安全 技术 


29 


习 要 2 


. 计算 机 环境 安全 包括 哪些 内 容 ? 
.环境 保护 机 制 包括 哪些 内 容 ? 

. 防 静 电 措 施 的 内 容 是 什么 ? 

. 防火 安全 策略 有 哪些 内 容 ? 

. 常用 的 电源 线 干扰 有 哪 几 种 ? 


第 3 意 ehapter3 
计算 机 系统 安全 与 数据 备份 技术 


当今 ,人 们 依赖 于 计算 机 系统 的 程度 越 来 越 大 ,应 用 面 也 随 之 越 来 越 广 。 可 是 计算 
机 并 不 安全 , 它 潜伏 着 严重 的 不 安全 性 、 脆 弱 性 和 危险 性 。 造 成 不 安全 的 因素 很 多 ,有 计 
算 机 系统 本 身 的 不 可 靠 性 ;环境 干扰 以 及 自然 灾害 等 因素 引起 的 ;也 有 工作 失误 ,操作 不 
当 造 成 的 ;而 人 为 故意 的 未 授权 窃取 破坏, 敌对 性 活动 危害 更 大 。 加 上 近年 来 计算 机 病 
毒 严重 地 侵入 计算 机 系统 ,不 安全 性 就 显得 更 为 突出 。 在 计算 机 系统 中 ,以 微型 计算 机 
安全 的 缺陷 为 最 大 ,也 最 易 受 病毒 的 感染 。 有 人 曾 预 言 ,今后 在 现代 化 战争 中 可 以 利用 
传输 病毒 来 破坏 对 方 的 军事 指挥 通信 系统 ,使 其 处 于 竣 痰 状态 。 因 而 对 计算 机 安全 问题 
决 不 能 掉以轻心 。 

何 为 “计算 机 安全 ”? 国际 标准 化 委员 会 对 计算 机 安全 的 定义 提出 建议 , 即 * 为 数据 
处 理 系统 建立 和 采取 的 技术 的 和 管理 的 安全 保护 ,保护 计算 机 硬件 .软件 ,数据 不 因 偶然 
的 或 恶意 的 原因 而 遭 破 坏 、. 更 改 . 显 露 "。 计 算 机 安全 包括 实体 安全 、 软 件 安全 、 数 据 安 全 
和 运行 安全 。 从 内 容 来 看 ,包括 计算 机 安全 技术 .计算 机 安全 管理 .计算 机 安全 评价 、. 计 
算 机 犯罪 与 侦查 .计算 机 安全 法 律 以 及 计算 机 安全 理论 与 政策 等 内 容 。 

另 一 方面 ,计算 机 网 络 是 现代 人 类 生活 最 重要 的 组 成 部 分 ,而 网 络 安全 最 根本 的 任 
务 是 计算 机 系统 的 安全 ,只 有 当 计算 机 系统 的 安全 得 到 了 有 效 的 保证 ,才能 有 效 地 保证 
数据 的 安全 和 网 络 的 安全 。 

本 章 着 重 介绍 的 就 是 计算 机 系统 的 安全 保护 技术 ,包括 计算 机 硬件 安全 技术 .计算 
机 软件 的 安全 技术 以 及 计算 机 口令 安全 技术 。 


31 计算 机 硬件 突 全 技术 


计算 机 硬件 及 其 运行 环境 是 网 络 系统 运行 的 最 基本 因素 ,其 安全 程度 对 网 络 的 安全 
有 着 重要 的 影响 。 巾 于 自然 灾害 、 设 备 自然 损坏 和 环境 干扰 等 自然 因素 以 及 人 为 有 意 或 
无 意 的 破坏 与 窃取 等 原因 ,计算 机 设备 的 安全 就 会 受到 很 大 的 威胁 。 本 节 讨 论 的 是 网 络 
系统 中 硬件 设备 及 其 运行 环境 ,以 及 面临 的 各 种 安全 威胁 和 防护 策略 。 


#@: 计算 机 系统 安全 与 数据 备份 技术 
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311 硬件 安全 内 容 及 硬件 保护 机 制 


1. 计算 机 硬件 安全 内 容 


。 计算 机 ( 含 服务 器 及 终端 计算 机 ) 。 

。 存储 设备 (硬盘 光盘、 磁带 等 ) 。 

。 网 络 通信 线 线 ( 光 缆 、 双 绞 线 、 同 轴 电 缆 等 ) 。 

。 网 络 连接 设备 (交换 机 ,路 由 器 、 防 火 墙 . 调 制 解 调 器 等 ) 。 
。 灾难 。 防 雷电 雨水. 火 。 

。 环境 。 静 电 、 烟 灰尘、 温度 .湿度 。 

。 破坏 。 人 、 盗 . 鼠 、 病 毒 。 

。 供电 。UPS。 

。 主机 。 双 机 热 备份 .异地 备份 ( 宛 余 备份 ) 。 

。 存储 。 磁 盘 镜 像 .磁盘 阵列 .光盘 塔 、 磁 带 。 


2. 硬件 保护 机 制 


硬件 是 组 成 计算 机 的 基础 。 硬 件 保护 包括 两 个 方面 ,一 方面 指 在 计算 机 硬件 (包括 
CPU 内存、 缓存 .输入 /输出 通道 和 外 围 设备 等 ) 上 采取 的 安全 防护 措施 , 另 一 方面 是 指 
通过 增加 硬件 设备 而 达到 安全 保密 的 措施 。 随 着 计算 机 技术 的 发 展 ,超大 规模 集成 电路 
的 广泛 应 用 使 计算 机 的 功能 越 来 越 完善 ,更 新 换代 也 越 来 越 快 。 由 于 硬件 安全 防护 措施 
的 开销 大 , 且 不 易 随 着 设备 的 更 新 换代 而 改变 ,因此 ,许多 安全 防护 功能 是 由 软件 来 实现 
的 。 软 件 保护 措施 灵活 、 易 实现 、. 易 改变 ,但 它 占 用 资源 多 ,系统 开销 大 ,并 且 运 行 起 来 会 
降低 计算 机 的 功能 。 此 外 ,完全 依赖 软件 的 一 些 保密 手段 (比如 磁盘 加 密 程序 ) 易 被 软件 
破译 ,增加 硬件 保护 才能 保证 安全 可 靠 。 由 于 这 种 原因 ,硬件 防护 措施 仍 是 计算 机 安全 
防护 技术 中 不 可 缺少 的 一 部 分 。 特 别 是 对 于 重要 的 系统 , 需 将 硬件 防护 同系 统 软件 的 支 
持 相 结合 ,以 确保 安全 。 例 如 ,虚拟 存储 器 保护 是 一 种 硬件 防护 措施 ,但 是 其 动态 地 址 转 
换 功 能 需要 有 一 套 虚拟 存储 空间 的 表格 结构 ,这 就 需要 操作 系统 的 支持 。 


312 计算 机 主 设备 安全 


1. 计算 机 加 锁 


计算 机 加 锁 是 将 计算 机 的 重要 控制 电路 的 通 断 用 锁 来 控制 。 早 期 的 加 锁 部 分 包括 
键盘 ,内存 和 硬盘 等 。 由 于 机 械 锁 常 造成 电路 损坏 并 诱发 故障 ,现代 计算 机 多 采用 数字 
电路 锁 , 将 开锁 的 密码 保存 在 电路 中 ,只 有 知道 密码 才能 使 用 设备 ,如 CMOS 口令 替代 了 
以 往 的 键盘 锁 。 


2. 信息 保护 卡 
防 复制 卡 ,插座 式 的 数据 变换 硬件 (如 安装 在 并 行 口上 的 加 密 狗 等 ) 可 成 为 软件 运行 
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的 必要 条 件 。 由 于 硬件 的 不 可 复制 性 ,限制 了 软件 的 非法 复制 和 流传 。 硬 盘 保护 卡 是 一 
种 能 够 保护 硬盘 数据 的 硬件 卡 , 有 两 种 主要 类 型 ,备份 型 保护 卡 和 标记 型 保护 卡 。 备 份 
型 保护 卡 将 硬盘 分 成 两 部 分 ,一 部 分 备份 原始 数据 , 另 一 部 分 供用 户 使 用 ,表面 上 看 硬盘 
损失 了 一 部 分 ,但 安全 性 比较 高 。 标 记 型 保护 卡 不 损失 硬盘 空间 ,但 安全 性 不 如 备份 型 
保护 卡 。 


313 计算 机 外 部 辅助 设备 安全 


1. 打印 机 安全 


打印 机 属于 精密 机 电 设备 ,使 用 时 一 定 要 遵守 操作 规则 ,出 现 故 障 时 一 定 要 先 切断 
电源 ,数据 线 不 要 带电 插 拔 。 打 印 敏感 信息 产生 的 废 稿 一 定 要 及 时 销毁 ,对 于 重要 数据 
部 门 的 打印 机 ,要 有 使 用 记录 。 

2. 磁盘 阵列 和 磁带 机 安全 

对 于 磁盘 阵列 和 磁带 机 安全 要 注意 防磁 、 防 尘 、 防 潮 、 防 冲击 ,避免 因 物 理 上 的 损坏 
而 使 数据 丢失 。 例 如 灰尘 容易 在 磁头 上 聚集 ,会 降低 磁头 的 灵敏 度 ,甚至 划 伤 磁盘 或 磁 
带 ,从 而 会 造成 数据 的 丢失 ,严重 时 会 导致 硬盘 或 磁带 的 损失 ,或 者 划 伤 硬盘 片 ,使 硬盘 
报废 ,造成 重大 损失 。 

3. 终端 安全 

为 了 防止 他 人 非法 使 用 计算 机 终端 ,可 以 在 终端 上 加 锁 ,终端 与 主机 之 间 的 通信 线 
路 不 宜 过 长 ,以免 被 窍 听 。 显 示 敏 感 信息 的 显示 器 要 远离 公众 ,要 防止 远程 偷窥 ;采用 射 
频 通信 的 显示 终端 还 要 防 电磁 辐射 泄漏 。 
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321 软件 安全 保护 的 对 象 及 软件 安全 内 容 


. 软件 安全 保护 的 对 象 


操作 系统 (DOS、Windows、Windows NT、UNIX 等 ) 。 
网 络 软 件 (E-mail、IE、Telnet、FTP 等 )。 

工具 软件 (诊断 软件 、 防 病毒 软件 .端口 扫描 软件 等 )。 
应 用 程序 (会 计 核算 软件 .库存 管理 软件 等 ) 。 


. 软件 安全 内 容 


软件 的 授权 与 访问 。 
软件 漏洞 及 补丁 。 


挛 


S 
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。 软件 崩溃 与 软件 恢复 。 
。 软件 版 权 保护 。 

。 黑客 攻击 。 

。 病毒 侵袭 。 

。 现场 保护 技术 。 

。 用户 登记 簿 。 

。 软 件 管理 。 


322 软件 共享 安全 技术 


在 早期 的 计算 机 网 络 系 统 中 ,应 用 软件 是 采用 面向 主机 的 集中 式 管理 方式 ,即将 所 
有 用 户 应 用 软件 和 数据 都 集中 存放 在 一 台 网 络 主机 上 .各 个 用 户 终端 则 根据 各 自 的 使 用 
权限 来 访问 相应 的 应 用 软件 和 数据 。 这 种 管理 方式 最 大 的 优点 在 于 软件 和 数据 能 保持 
高 度 的 一 致 性 ,并 给 软件 的 维护 和 管理 带 来 极 大 的 方便 。 但 这 种 管理 方式 有 其 致命 的 弱 
点 ,一 是 主机 负担 过 重 ,尤其 是 在 大 型 网 络 中 随 着 用 户 终端 数量 的 增加 和 应 用 软件 数量 
的 增加 ,系统 的 效率 便 随 之 下 降 。 其 二 ,一 旦 网 络 主机 故障 或 网 络 主机 不 开机 , 则 用 户 终 
端 无 法 使 用 相应 的 应 用 软件 。 其 三 ,集中 存放 在 一 起 的 数据 的 安全 性 得 不 到 保证 。 分 布 
式 应 用 软件 管理 模式 就 是 解决 上 述 问题 的 有 效 方法 .分 布 式 管理 模式 就 是 将 应 用 软件 分 
别 存放 在 用 户 终端 上 ,比如 有 10 台 计算 机 上 要 用 100 个 应 用 程序 ,就 要 求 这 10 台 计 算 机 
都 要 装 上 这 100 个 应 用 程序 。 分 布 式 管理 方式 的 弱点 ,一 是 软件 的 管理 和 维护 不 方便 ， 
二 是 应 用 软件 经 多 次 维护 和 修改 后 ,很 难保 持 其 软件 的 一 致 性 。 如 何 解决 软件 分 布 和 软 
件 一 致 性 ,是 对 网 络 管理 的 一 项 严峻 的 挑战 。 
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前 面 介绍 的 软件 集中 式 管理 方式 带 来 了 管理 和 维护 的 方便 ,一 致 性 得 到 保证 但 软件 
的 系统 效率 不 高 ,软件 的 分 布 式 管理 方式 使 得 软件 的 使 用 效率 提高 ,但 软件 的 一 致 性 难 
以 得 到 保证 。 解 决 这 一 问题 可 以 采用 折 中 的 方法 , 即 采 用 多 个 分 布 式 文件 服务 器 管理 模 
式 , 在 一 个 大 型 网 络 系统 中 配置 多 台 文件 服务 器 ,每 一 台 文 件 服务 器 为 相关 的 一 部 分 应 
用 软件 服务 。 可 以 这 样 理解 .将 所 有 的 应 用 软件 进行 分 类 ,将 不 同类 别 的 应 用 软件 分 别 
存放 在 不 同 的 文件 服务 器 上 ,这 样 既 解决 了 软件 的 一 致 性 和 管理 维护 的 方便 性 ,又 能 充 
分 发 挥 网 络 系统 的 效率 。 
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为 了 对 计算 机 系统 进行 安全 评估 , 按 处 理 信息 的 等 级 和 应 用 的 相应 措施 ,可 将 计算 
机 安全 分 为 A、B、C、D 4 个 等 次 8 个 级 别 ( 如 表 3-1 所 示 ), 最 低级 为 DD 级 ,最 高 级 为 人 
级 。 从 表 3-1 中 可 以 看 出 , 随 着 安全 等 级 的 提高 ,系统 的 可 信和 度 随 之 增加 ,风险 也 逐渐 
减少 。 
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表 3-1 计算 机 安全 等 级 划分 表 


等 次 | 级 别 名 称 主要 特征 
超 Al 最 理想 的 安全 保护 级 别 
A 形式 化 的 最 高 级 描述 和 验证 ,形式 化 的 隐藏 通道 分 析 ， 
| 2 
rt 非 形式 化 的 代码 对 应 证 明 
B3 安全 区 域 存 取 监 控 ,高 抗 渗透 能 力 
形式 化 模型 / 隐 通 道 约束 ,面向 安全 的 体系 结构 , 较 好 的 
B B2 
结构 化 保护 抗 渗透 能 力 
Bl 标识 的 安全 保护 ”| 强制 安全 控制 ,安全 标识 
G C2 可 控制 的 存 取 控 制 | 单独 的 可 查 性 、 广 泛 的 审计 跟踪 能 力 
C1 自主 安全 保护 自主 存 取 控 制 
D D 低级 保护 安全 保护 能 力 最 弱 
331 非 保护 级 


非 保护 级 是 最 低 一 级 , 即 是 “低级 保护 "级 ,在 表 3-1 中 为 DD 等 D 级别 ,其 安全 保护 能 
力 最 弱 。 这 一 级 别 是 专 为 经 过 安全 评估 ,但 满足 不 了 高 水 平 评估 系统 设计 的 .也 可 以 说 ， 
属于 非 保护 级 的 系统 是 一 些 不 符合 安全 要 求 的 系统 。 因 此 ,可 以 认为 非 保护 级 的 系统 是 
不 能 在 多 用 户 环境 下 处 理 敏 感 信息 的 。 


332 自主 保护 级 


在 表 3-1 中 ,C 等 为 自主 保护 级 ,具有 一 定 的 安全 保护 能 力 ,其 采用 的 主要 措施 有 自 
主 访问 控制 和 审计 跟踪 两 种 ,其 选用 范围 是 具有 一 定 等 级 的 多 用 户 环境 。 自 主 保护 级 能 
为 各 级 提供 无 条 件 的 安全 保护 ,并 通过 审计 追踪 ,对 主体 及 其 产生 的 动作 负责 。 

自主 保护 等 级 分 为 Cl 和 C2 两 个 级 别 , 即 自主 安全 保护 级 别 和 可 控制 的 安全 保护 
级 别 。 


1. 自主 安全 保护 级 (C1 级 ) 


自主 安全 保护 级 别 的 系统 能 提供 用 户 与 数据 相隔 离 的 能 力 , 以 符合 自主 保护 的 目 
的 。 其 主要 技术 是 系统 包含 了 许多 可 信和 控制 方式 .能 在 个 体 基础 上 实施 存 取 限制 , 即 允 
许 用 户 保护 自己 的 隐私 和 私密 性 信息 ,使 其 免 遭 非法 用 户 浏览 和 破坏 。 

Cl 级 是 通过 系统 提供 用 户 与 数据 相隔 离 的 功能 ,满足 TCB (Trusted Computing 
Base, 可 信 计 算 基 础 ) 自 动 安全 的 要 求 。TCB 是 操作 系统 中 用 于 实现 安全 策略 的 一 个 集 
合体 ,包含 软件 .固件 和 硬件 的 集合 ,该 集合 体 根据 安全 策略 来 处 理 主体 对 客体 的 访问 ， 
并 满足 以 下 特征 ,TCB 实施 主体 对 客体 的 安全 访问 .TCB 是 防 自 改 的 .TCB 的 结构 易于 
分 析 和 测试 。 这 里 所 提 及 的 “可 信 计 算 基 础 ”是 一 个 安全 计算 机 系统 的 参考 校 验 机 制 , 包 
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含 了 所 有 负责 实施 安全 的 策略 以 及 对 保护 系统 所 依赖 的 客体 实施 隔离 操作 的 系统 单元 ， 
它 是 计算 机 系统 内 保护 装置 的 总 体 , 包 括 硬 件 、 固 体 . 软 件 和 负责 执行 安全 策略 的 组 合 
体 。TCB 建立 了 一 个 基本 的 保护 环境 并 提供 一 个 可 信 计 算 系 统 所 要 求 的 附加 用 户 服务 。 
换 句 话说 ,就 是 所 有 与 系统 安全 有 关 的 功能 均 包含 在 TCB 中 。 

在 这 一 级 中 ,TCB 应 在 客体 之 间 定 义 和 进 行 访问 控制 。 它 采用 的 安全 机 理 ( 安 全 机 
理 有 个 人 控制 ,组 控制 公共 控制 和 访问 控制 ) 应 允许 客体 拥有 者 指定 和 控制 客体 是 由 自 
己 使 用 ,还 是 由 用 户 组 或 公共 使 用 。 满 足 该 级 别 的 系统 在 进行 任何 访问 操作 之 前 ,必须 
由 TCB 确认 用 户 的 身份 (可 采用 口令 等 方式 进行 用 户 的 身份 认证 ), 并 保护 数据 ,以 免 未 
经 授权 的 用 户 对 确认 的 数据 进行 非法 的 访问 和 修改 。 通 过 用 户 拥有 者 的 自主 定义 和 控 
制 ,可 以 防止 自己 的 数据 被 别 的 用 户 有 意 或 无 意 地 读 出 、 算 改 . 干 涉 和 破坏 ,同时 能 提供 
软件 和 硬件 的 特性 ,定期 检查 其 运行 的 正确 性 。 系 统 的 完整 性 要 求 硬件 和 软件 能 同时 保 
证 TCB 连续 的 有 效 操 作 特 性 。 


2. 可 控制 的 安全 保护 级 (C2 级 ) 


C2 级 系统 比 C1 级 更 具有 自主 访问 控制 的 能 力 。 通 过 注册 过 程 , 同 与 安全 有 关 的 事 
件 和 资源 隔离 ,使 得 用 户 的 操作 具有 可 查 性 。 在 安全 方面 , 除 具 备 C1 级 的 所 有 功能 外 ， 
还 提供 授权 服务 功能 ,并 可 提供 控制 ,以 防止 存 取 权 力 的 扩散 。 具 体 来 说 ,应 确定 哪些 用 
户 可 以 访问 哪些 客体 ,而 未 授权 用 户 是 不 能 访问 已 分 配 访问 权限 的 客体 的 。 另 一 方面 ， 
C2 级 还 提供 了 客体 的 再 用 功能 , 即 对 于 一 个 还 未 使 用 的 存储 客体 ,TCB 应 该 能 够 保证 客 
体 不 包含 未 授权 主体 的 数据 。 

此 外 ,C2 级 还 能 提供 唯一 的 识别 自动 数据 处 理 系统 中 各 个 用 户 的 能 力 ;提供 将 这 种 
身份 与 该 客体 用 户 发 生 的 所 有 审计 动作 相 联系 的 能 力 。C2 级 系统 能 与 该 识别 符合 ,可 
审计 所 有 主体 进行 的 各 种 活动 ;能 够 对 可 信 计 算 机 TCB 进行 建立 和 维护 ,对 客体 存 取 的 
审计 进行 跟踪 ,并 保护 审计 信息 ,防止 被 修改 .毁坏 或 未 经 授权 访问 。 

早期 的 DEC 公司 的 VAX/VMS 操作 系统 和 Novell 公司 的 Netware 操作 系统 ,以 及 
现代 的 Microsoft 公司 的 Windows NT 操作 系统 都 是 提供 C2 级 保护 的 系统 。 
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B 等 为 强制 保护 级 ,这 一 等 级 比 C 等 级 的 安全 功能 有 很 大 的 增强 。 它 要 求 对 客体 实 
施 强制 访问 控制 ,并 要 求 客 体 必 须 带 有 敏感 标志 ,可 信 计 算 机 利用 它 去 施加 强制 访问 
控制 。 

强制 安全 保护 分 为 Bl1 级 (标记 安全 保护 级 ) .B2 级 (结构 化 保护 级 ) 和 B3 级 (安全 区 
域 级 )3 个 级 别 。 


1. 标记 安全 保护 级 (B1 级 ) 


Bl1 级 除了 具有 C1 级 和 C2 级 的 自主 访问 控制 功能 外 ,还 增加 了 强制 存 取 控制 ,组织 
统一 干预 每 个 用 户 的 存 取 权限 。 可 以 说 ,Bl1 级 具有 C2 级 的 全 部 安全 特性 和 功能 ,并 增 
加 了 数据 标记 ,以 标记 的 形式 决定 已 命名 主体 对 该 客体 的 存 取 控制 。 
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2. 结构 化 保护 级 (B2 级 ) 


从 B2 级 开始 , 按 “ 最 小 特权 ”原则 进行 安全 保护 控制 , 即 取消 “权力 无 限 大 ”的 “特权 
用 户 ”。 任 何 一 个 人 都 不 能 享有 操纵 和 管理 计算 机 的 全 部 权力 。 本 级 的 主要 功能 是 将 系 
统管 理 员 和 系统 操作 员 的 职能 与 权限 相 分 离 , 系 统管 理 员 负 责 对 系统 的 配置 和 可 信 设 施 
进行 强 有 力 的 控制 和 管理 ,系统 操作 员 则 是 操纵 计算 机 的 正常 运行 。 本 级 将 强制 存 取 控 
制 扩展 到 计算 机 的 全 部 主体 和 全 部 客体 ,并 且 要 发 现 和 消除 能 造成 信息 泄露 的 隐蔽 存储 
信道 。 为 此 ,本 级 计算 机 安全 级 的 结构 ,将 被 自行 划分 为 与 安全 保护 有 关 的 关键 部 分 和 
非 关 键 部 分 。 


3. 安全 区 域 级 (B3) 


B3 级 在 计算 机 安全 方面 已 达到 目前 能 达到 的 最 完备 的 级 别 。 按 照 最 小 特权 的 原 
则 ,B3 级 增加 了 安全 管理 员 ,将 系统 管理 员 、 系 统 操作 员 和 系统 安全 管理 员 的 职能 相隔 
离 , 使 其 各 司 其 职 ,将 人 为 因素 对 计算 机 安全 的 威胁 减 至 最 小 。 

B3 级 要 求 在 计算 机 安全 级 的 结构 中 ,没有 为 实现 安全 策略 所 不 必要 的 代码 。 它 的 
所 有 部 分 都 是 与 保护 有 关 的 关键 部 件 ,并 且 它 是 用 系统 工程 方法 实现 的 ,其 结构 复杂 性 
最 小 ,易于 分 析 和 测试 。 本 级 在 审计 功能 方面 不 但 能 详细 记录 所 有 安全 事件 ,而 且 能 自 
动 发 出 安全 报警 信号 。 


334 验证 安全 保护 级 


计算 机 系统 的 安全 保护 级 别 最 高 的 等 级 是 A 等 的 验证 安全 保护 级 。 其 最 显著 的 特 
点 是 从 形式 设计 规范 说 明和 验证 技术 进行 分 析 , 并 高 度 地 保证 正确 地 实现 TCB。 其 实现 
技术 是 使 用 形式 化 验证 方法 ,以 保护 系统 的 自主 访问 和 强制 访问 ,控制 机 理 能 有 效 地 使 
用 该 系统 存储 和 处 理 秘密 信息 或 其 他 敏感 信息 。 

验证 保护 级 分 为 验证 设计 级 (Al 级 ) 和 超 Al 级 两 个 级 别 。 


1. 验证 设计 级 (Al 级 ) 


Al 级 的 安全 功能 与 B3 级 基本 相同 ,但 最 明显 的 不 同 是 本 级 必须 对 相同 的 设计 , 运 
用 数学 形式 化 证 明 方法 加 以 验证 ,以 证 明 安全 功能 的 正确 性 。 
在 这 里 ,无 论 使 用 何 种 特殊 规格 语言 或 验证 系统 ,对 该 级 的 设计 验证 必须 遵循 以 下 5 
条 原则 : 
。 必须 能 对 安全 策略 的 形式 化 模型 进行 清晰 地 验证 和 文件 化 ,包括 要 求 用 数学 方法 
证 明 模 型 与 公理 的 一 致 性 ,模型 对 安全 策略 支持 的 有 效 性 。 
。 形式 化 顶层 规格 说 明 必 须 提出 包括 TCB 完成 功能 的 抽象 定义 和 用 于 支持 隔离 执 
行 区 域 的 硬件 或 固件 机 制 的 抽象 定义 。 如 有 验证 工具 ,应 使 用 形式 化 技术 证 明 
TCB 的 形式 化 顶层 规格 说 明和 模型 的 一 致 性 ,否则 可 采用 非 形式 化 技术 。 
。 必须 能 用 非 形式 化 技术 证 明 TCB 的 工具 (如 硬件 .固件 和 软件 ) 与 形式 化 顶层 规 
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格 说明 的 一 致 性 。 还 能 用 非 形式 化 技术 证 明 形 式 化 项 层 规格 说 明 的 各 要 素 对 应 
于 TCB 的 各 单位 。 形 式 化 顶层 规格 说 明 必 须 能 表示 符合 安全 策略 要 求 的 统一 保 
护 机 制 , 而 且 TCB 各 单元 的 映射 正 是 保护 机 制 的 要 素 。 

。 必须 使 用 形式 化 分 析 技 术 去 标识 和 分 析 隐 项 信道 , 非 形式 化 技术 可 用 于 标识 隐藏 
定时 信道 ,在 系统 中 ,必须 对 被 标识 的 隐藏 信道 的 连续 存在 加 以 说 明 。 

。 为 了 配合 Al 级 所 要 求 的 TCB 扩展 设计 和 开发 分 析 , 需 要 更 严格 的 配置 管理 ,并 
建立 把 该 级 安全 地 分 配 到 现场 的 过 程 。 


2. 超 Al 级 


超 Al 级 是 最 安全 、 最 理想 的 安全 保护 级 别 。 

超 Al 级 系统 涉及 的 范围 包括 系统 体系 结构 ,安全 测试 .形式 化 规约 与 验证 和 可 信 设 
计 环 境 等 。 

1) 系统 体系 结构 

必须 给 出 一 种 形式 化 的 (或 非 形式 化 的 ) 证 明 , 以 表明 在 TCB 中 对 基准 监控 器 的 自 
身 保护 和 完备 性 确实 已 经 实现 。 

2) 安全 测试 

对 此 虽然 已 经 超出 了 现代 技术 ,然而 人 们 还 是 期 望 在 形式 化 顶层 规格 说 明 或 形式 化 
底层 规格 说 明 中 自动 实现 某 些 测试 实例 的 生成 。 

3) 形式 化 规格 说 明和 验证 

必须 在 可 行 的 场合 使 用 形式 化 验证 方法 ,使 对 TCB 的 验证 向 下 扩展 到 源 代码 级 。 
已 经 证 明 对 操作 系统 有 关 安 全 部 分 源 代码 的 形式 化 验证 是 一 项 困难 的 任务 。 有 两 项 重 
要 的 考虑 ,一 是 选择 一 种 能 完全 形式 化 表达 语义 的 高 级 语言 ;二 是 对 于 底层 规格 说 明 经 
过 一 系列 的 步骤 ,仔细 地 将 抽象 的 形式 化 设计 映射 成 可 实现 的 公式 形式 。 经 验 表明 ,只 
有 当 最 底层 规格 说 明 与 实际 代码 一 致 时 ,才能 成 功 地 实现 代码 证 明 。 

4) 可 信 设 计 环 境 

只 有 可 信赖 的 人 使 用 可 信 的 设施 ,才能 设计 合格 的 TCB。 
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密码 已 经 成 为 现代 人 类 生活 的 一 部 分 ,几乎 所 有 计算 机 及 网 络 系统 .通信 系统 都 需 
要 密码 ,以 拥有 易于 实现 的 第 一 级 别 的 访问 安全 性 。 各 级 IT 专业 人 员 和 用 户 所 面临 的 
问题 是 ,如 何 使 用 这 些 密码 以 及 如 何 才 能 不 遗忘 它们 。 密 码 和 密码 方案 必须 难以 破解 而 
易于 牢记 。 因 为 密码 如 果 难 以 记忆 和 理解 就 会 造成 很 大 的 不 方便 ,所 以 人 们 往往 只 花 很 
少 的 精力 创建 简单 的 易于 记忆 的 密码 ,因此 ,就 会 危及 到 自己 和 他 人 的 信息 安全 。 通 过 
了 解密 码 的 构成 与 创建 密码 的 方案 ,技术 人 员 就 可 以 为 企业 制订 出 完善 的 密码 管理 方 
案 。 为 确保 网 络 安全 运行 ,保护 所 拥有 的 权益 不 受 侵害 ,可 以 制订 如 下 管理 策略 。 


Dis ats tranit 


1. 网 络 服务 器 密码 口令 的 管理 


。 服务 器 的 口令 和 密码 ,由 部 门 负责 人 和 系统 管理 员 商 议 确定 ,必须 两 人 同时 在 场 
设 定 。 

服务 器 的 口令 须 部 门 负责 人 在 场 时 要 巾 系统 管理 员 记 录 封 存 。 

密码 或 口令 要 定期 更 换 , 更 换 后 网 络 系统 管理 员 要 立即 销毁 原 记 录 , 将 新 密码 和 
口令 封存 。 

如 发 现 密码 及 口令 有 泄密 迹象 ,系统 管理 员 要 立刻 报告 部 门 负责 人 ,有 关 部 门 负 
责 人 报告 安全 部 门 ,同时 要 尽量 保护 好 现场 并 记录 。 需 接 到 上 一 级 主管 部 门 批示 
后 再 更 换 密码 和 口令 。 


2. 用 户 密码 及 口令 的 管理 


对 于 要 求 设 定 密码 和 口令 的 用 户 , 由 用 户 方 指定 负责 人 与 系统 管理 员 商 定 密码 及 
口令 ,由 系统 管理 员 登 记 并 请 用 户 负责 人 确认 (签字 或 电话 通知 ), 之 后 系统 管理 
员 设 定 密码 及 口令 ,并 保存 用 户 档案 。 

当 用 户 由 于 责任 人 更 换 或 忘记 密码 .口令 时 要 求 查询 密码 .口令 或 要 求 更 换 密码 
及 口令 的 情况 下 , 需 向 网 络 服务 管理 部 门 提交 申请 单 , 由 部 门 负责 人 或 系统 管理 
员 核 实 后 ,对 用 户 档案 做 更 新 记载 。 


3. 密码 技术 基础 
密码 是 系统 和 个 人 信息 安全 的 第 一 道 防 线 。 这 个 系统 的 规模 可 以 是 任何 大 小 ,从 一 


台 计算 机 到 一 个 住宅 报警 系统 到 由 数 百 或 数 千 台 计 算 机 组 成 的 企业 网 络 ; 信 息 可 以 是 任 
意 类 型 的 ,从 社会 保险 号 码 到 私人 信件 ,再 到 机 密 文 档 。 通 过 与 用 户 名 的 结合 ,密码 向 用 
户 提 供 了 一 套 访问 这 些 系 统 的 凭证 。 用 户 名 通常 是 某 种 形式 的 “账号 ”, 创 建 它 是 为 了 让 
用 户 将 它 和 密码 一 起 使 用 。 


许多 用 户 认为 用 其 办 公 桌 抽 居 来 隐藏 密码 是 足够 安全 的 ,但 事实 证 明 恰恰 是 最 不 安 


全 的 。 另 一 个 经 常用 来 存储 密码 的 地 方 是 掌上 计算 机 个 人 数字 助理 (Personal Digital 
Assistant, PDA)。 如 果 PDA 从 不 会 丢失 或 被 盗 这 种 方法 将 很 好 ,实际 上 存在 着 用 于 
PDA 的 安全 性 解决 方案 ,如 PDA Secure, 它 是 一 种 通过 加 密 对 用 户 的 PDA 添加 保护 的 
程序 。 但 是 应 该 避免 在 用 户 的 PDA 或 像 办 公 桌 抽 居 这样 显 眼 的 位 置 存储 密码 。 


4. 弱 密 码 
弱 密 码 就 是 易于 被 破解 的 密码 ,也 是 在 密码 设置 中 不 可 取 的 密码 。 弱 密码 有 下 列 


。 系统 默认 密码 ( 空 密码 .内置 账户 ) 。 

。 密码 与 个 人 信息 相关 (如 姓名 、 生 日 等 )。 
”密码 为 字典 中 的 词语 。 

。 过 短 密码 (密码 长 度 小 于 或 等 于 6 位 ) 。 
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。 永 久 密 码 。 
5. 低 效 密码 


设计 良好 密码 的 第 一 步 是 研究 在 创建 密码 时 不 应 该 做 什么 。 首 先 ,避免 使 用 字典 
字 。 任 何 来 自 字 典 的 字 都 容易 受到 攻击 ,并 且 ,如 果 不 经 常 更 改 它 , 它 最 终 将 被 破解 。 用 
字典 字 创 建 密码 的 主要 问题 在 于 ,任何 密码 破解 工具 最 终 都 能 够 使 用 字典 攻击 猜 到 它 。 
此 外 , 别 指望 将 字典 字 反 过 来 写 , 或 者 在 字典 字 后 面 添加 简单 的 数字 值 。 这 些 密码 破解 
工具 同样 也 会 尝试 这 些 组 合 。 以 下 是 低 效 密码 的 一 些 示例 。 

Cracker 

crackerl 

Rekcare 

在 创建 密码 时 还 要 避免 其 他 几 个 问题 。 

绝 不 要 将 个 人 信息 用 作 密 码 的 基础 。 举 例 来 说 ,如 果 用 户 的 生日 是 8 月 16 日 , 则 不 
要 将 所 有 的 密码 设置 成 0816、1608 或 者 816。 任 何 了 解 用 户 的 人 都 可 以 轻易 猜 出 这 些 密 
码 。 不 要 将 与 自己 熟悉 的 人 或 经 常 提 起 的 人 的 名 字 用 于 密码 ,也 不 要 以 这 些 名 字 作 为 密 
码 建立 的 基础 。 还 要 避免 使 用 身边 的 物品 名 称 作 为 密码 或 密码 的 基础 ,这 会 使 别人 根据 
用 户 的 物品 猜 出 用 户 的 密码 。 

不 要 将 密码 文件 保存 在 本 地 机 器 或 共享 的 网 络 上 。 这 仅 是 通过 文件 级 别 访问 来 进 
行 保护 的 ,而 且 机 器 本 身 可 能 被 泄漏 。 如 果 有 人 对 某 个 文件 夹 重新 设置 许可 权 , 并 且 错 
误 地 设置 了 许可 权 ,那么 该 文件 夹 内 的 子 文件 夹 的 许可 权 也 被 重新 设置 ,这 会 引起 泄漏 
该 网 络 上 的 所 有 密码 。 


6. 如 何 创建 有 效 的 密码 


以 下 是 创建 有 效 密码 的 一 些 通用 规则 。 

保存 密码 的 唯一 安全 的 地 方 是 用 户 的 脑袋 或 上 锁 的 保险 箱 , 只 有 用 户 自己 知道 这 个 
保险 箱 的 开 箱 密码 组 合 。 

有 效 密码 必须 相当 长 ,但 又 不 能 长 到 让 用 户 无 法 记 住 它们 的 程度 。 

以 合理 的 方式 使 用 特殊 字符 、 大 写字 母 和 数字 。 如 果 系 统 有 “区 分 大 小 写 " 的 功能 ， 
则 将 大 写字 母 和 小 写字 母 结合 起 来 使 用 可 以 提供 一 些 保护 。 这 样 ,可 以 使 用 密码 Hey 
You, 它 与 heyyou 不 同 。 加 入 大 写字 母后 就 添加 了 一 层 复杂 性 ,使 密码 更 难 破解 。 


7. 口令 加 密 技术 


为 了 防止 口令 受到 意外 的 攻击 ,比较 安全 的 策略 是 把 口令 表 ( 保 存 口令 的 数据 文件 ) 
加 密 。 加 密 后 攻击 者 不 能 读 取 和 使 用 口令 。 两 种 常用 的 加 密 方法 是 采用 传统 的 密 钥 加 
密 方法 和 单 向 函数 加 密 方法 。 

在 传统 的 加 密 方法 中 ,是 把 整个 口令 加 密 或 只 把 口令 的 某 一 列 加 密 。 当 接收 用 户 的 
口令 时 ,把 存储 的 口令 解密 ,然后 比较 两 个 口令 。 

单 向 函数 加 密 法 是 一 种 比较 安全 的 策略 。 它 采用 一 个 加 密 函 数 , 使 加 密 变 得 相对 容 
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易 , 但 解密 却 很 困难 。 例 如 , 单 向 函数 X 简易 计算 ,而 它 的 反 函 数 则 不 容易 计算 。 口 令 表 
中 的 口令 以 加 密 的 形式 存储 , 当 用 户 输入 口令 时 ,口令 也 被 加 密 。 然 后 比较 加 密 后 的 口 
令 。 如 果 两 者 相同 ,那么 证 实 该 用 户 为 合法 用 户 。 并 允许 使 用 其 权限 范围 内 的 任何 资 
源 , 但 不 允许 两 个 不 同 的 口令 加 密 成 相同 的 密 文 。 


342 开机 口令 


目前 PC 是 世界 上 使 用 最 多 的 计算 机 , PC 上 运行 的 操作 系统 多 为 MSDOS 或 
Windows 2000/XP/2003 等 ,而 Windows 2000/XP/2003 系统 简单 易学 , 且 具 有 友好 的 界 
面 、. 丰 富 的 应 用 软件 ,成 为 了 个 人 用 户 的 首选 。 然 而 ,由 于 Windows 2000/XP/2003 本 身 
存在 许多 安全 性 方面 的 问题 ,是 十 分 容易 被 攻击 的 。 

而 在 另 一 方面 ,因为 Windows 2000/XP/2003 的 流行 ,许多 黑客 工具 在 设计 时 就 考 
虑 了 Windows 2000/XP/2003 的 兼容 性 ,许多 黑客 也 利用 它 来 攻击 网 络 系统 。 因 此 ,对 
于 个 人 计算 机 系统 ,用 启动 开机 口令 的 开机 验证 机 制 防止 非法 用 户 使 用 计算 机 ,是 非常 
必要 的 。 开 机 口令 的 开机 验证 机 制 是 由 计算 机 的 BIOS(Base Input/Output System) 程 
序 来 管理 的 ( 即 在 CMOS 下 进行 设置 )。 下 面 将 介绍 这 方面 的 内 容 。 


343 QVD5 口 令 


1. 密码 破解 方法 


在 日 常 的 工作 中 , 常 碰 到 一 些 用 户 由 于 遗忘 了 CMOS 口令 或 无 意 中 设 置 了 CMOS 
口令 ,致使 计算 机 无 法 启动 操作 系统 或 无 法 进行 CMOS 参数 设置 ,很 多 用 户 对 此 束 手 无 
策 , 只 能 送 计 算 机 公司 修理 ,耽误 了 很 多 时 间 。 

其 实 ,根据 CMOS 口令 的 设置 情况 ,可 以 有 很 多 方法 来 破解 ,其 原则 是 ,如 果 设 置 了 
CMOS 开机 口令 ,必须 采用 硬件 或 CMOS 万 能 密码 法 破解 ;如 果 仅 设 置 了 BIOS 设置 口 
令 , 破 解 这 种 口令 简直 易如反掌 。 下 面 给 出 破解 CMOS 口令 的 几 种 方法 。 注 意 ,这 些 方 
法 当然 也 有 可 能 会 被 黑客 们 利用 ,因此 亦 应 针对 这 些 破解 方法 ,做 好 自己 计算 机 的 
CMOS 口令 保护 。 


2. 硬件 法 破解 CMOS 口令 


如 果 将 BIOS 设置 中 的 SEURITY OPTION( 密 码 属性 ) 设 为 ALWAYS/SETUP 或 
SYSTEM, 则 更 是 不 幸 中 的 不 幸 ,因为 此 时 既 无 法 进入 CMOS 设置 程序 更 改口 令 , 也 无 
法 启动 操作 系统 ,这 种 情况 只 能 采取 在 硬件 上 进行 CMOS 掉 电 处 理 和 使 用 万 能 密码 这 两 
类 方法 解决 。 

首先 需要 提 及 的 是 ,硬件 破解 的 各 种 方法 均 需 在 计算 机 关机 的 状态 下 进行 (最 好 将 
电源 线 拔 掉 ) , 先 清除 人 身上 的 静电 ,再 打开 计算 机 机 箱 , 否 则 可 能 导致 计算 机 硬件 的 
损坏 。 

1) 跳 线 /开关 放电 破解 法 

计算 机 主板 上 一 般 都 有 CMOS CLEAR(CMOS 清除 ) 跳 线 , 可 参照 计算 机 主板 说 明 
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书 或 主板 上 印 制 的 跳 线 说 明 , 用 导体 在 该 位 置 上 跳 接 一 下 (即将 其 短路 ),CMOS 口令 就 
被 清除 ,开机 后 即 能 进入 CMOS 设置 ,可 重新 设置 开机 口令 。 之 后 ,关机 并 拔 掉 电 源 线 ， 
再 次 将 CMOS 的 CLEAR 跳 线 位 置 开路 。 

2) 导线 划 芯 片 放电 破解 法 

硬件 破解 CMOS 口令 的 本 质 是 让 CMOS RAM 芯片 掉 电 ,使 其 中 保存 的 设置 丢失 ， 
从 而 达到 清除 CMOS 口令 的 目的 , 抓 住 了 这 一 点 ,在 解决 此 类 问题 时 ,可 先 将 CMOS 电 
池 务 下 ,然后 用 一 根 导线 ,将 其 一 端 接 到 CMOS 电池 插座 的 地 线 端 ,用 另 一 端 在 CMOS 
RAM 片 的 两 排 脚 上 轻 轻 地 一 扫 而 过 (如 不 能 确认 哪 块 是 CMOS 芯片 , 则 可 多 扫 几 块 芯 
片 , 扫 时 注意 别 损伤 了 芯片 引 脚 ),CMOS 密码 便 会 被 清除 。 此 方法 适用 于 计算 机 主板 上 
没有 设计 CMOS CLEAR 跳 线 的 情况 。 

3) 卸 电 池 等 待 法 

这 是 一 种 麻烦 和 消极 的 方法 。CMOS 是 靠 主板 上 的 一 块 电池 及 相应 的 附属 电路 来 
提供 电源 以 保持 设置 信息 的 ,因此 ,如 果 将 CMOS 电池 取 下 ,再 将 电池 接口 的 正 负 极 ( 注 
意 不 是 电池 的 正 负极 ) 短 路 ,然后 等 待 一 段 时 间 后 ,CMOS 供电 电路 中 残存 的 电能 将 会 消 
耗 完 ,CMOS 口令 就 会 被 清除 了 。 

如 果 CMOS 电池 是 焊接 在 主板 上 的 , 则 需 先 焊 下 来 再 试用 上 述 的 第 2、3 种 方法 。 所 
以 只 有 在 确认 主板 上 确实 没有 设计 CMOS CLEAR 跳 线 的 情况 下 , 才 可 采用 后 两 种 
方法 。 

3. 用 CMOS 万 能 密码 破解 开机 口令 


如 果 计 算 机 机 箱 加 锁 ( 比 如 众多 的 进口 原装 计算 机 ?或 因为 其 他 原因 无 法 打开 机 箱 ， 
自然 也 就 无 法 进行 上 述 的 硬件 破解 法 ,是 否 还 有 其 他 方法 能 破解 CMOS 开机 口令 呢 ? 答 
案 是 肯定 的 ,下 面 介绍 一 种 不 用 拆 机 箱 的 软 方法 “万 能 密码 法 ”。 

破解 原理 : 在 BIOS 的 密码 中 也 有 像 WPS 那样 的 万 能 密码 ,但 不 同 的 BIOS 厂家 有 
不 同 的 密码 。 

1) 用 CMOSPWD 获取 CMOS 万 能 密码 

计算 机 BIOS 的 版 本 很 多 ,不 同 版 本 的 万 能 密码 也 不 一 样 , 想 用 几 个 密码 “通行 "于 所 
有 版 本 的 BIOS 显然 是 不 可 能 的 。 那 么 如 何 获得 更 多 的 万 能 密码 呢 ? 在 Internet 网 上 有 
一 个 运行 在 DOS 环境 下 的 CMOSPWD. EXE 软件 可 以 做 到 这 一 点 。 

CMOSPWD 工具 可 以 获取 多 种 BIOS 类 型 的 CMOS 码 。 因 此 , 当 忘 记 了 计算 机 的 
CMOS 密码 时 ,可 找 一 台 相 同 的 计算 机 ,给 其 设置 上 开机 口令 ,然后 运行 CMOSPWD 找 
到 “万 能 钥匙 ”", 再 用 到 自己 的 计算 机 上 即 可 。 

2) 用 UNAWARD 获取 AWARD BIOS 万 能 密码 

UNAWARD. EXE 可 以 帮助 用 户 轻 松 地 获得 Award BIOS 的 万 能 密码 ,还 可 以 用 该 
软件 DISABLE( 禁 用 ) 这 些 万 能 密码 ,甚至 删除 这 些 密码 。 

通常 同型 号 主机 的 AWARD BIOS 万 能 密码 是 一 致 的 。 因 此 当 忘 记 了 AWARD 
BIOS 密码 时 ,不 用 着 急 , 试 着 在 身边 找 找 或 打 电 话 问 问 朋 友 们 的 主板 型 号 .厂商 是 否 与 
自己 的 这 台 主 机 主板 相同 ,假如 有 的 话 ,用 UNAWARD. EXE 将 那 台 计算 机 上 的 密码 获 
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取 后 再 传 回来 ,一 切 就 大 功 告 成 了 。 

注意 , 若 需 BIOS 的 万 能 密码 ,必须 先 在 超级 用 户 密码 (SUPERVISOR PASSWORD) 
中 设置 密码 ,如 没有 超级 用 户 密码 选项 , 则 必须 在 用 户 密码 (USER PASSWORD) 中 设置 
密码 ,否则 该 软件 不 能 用 作 BIOS 的 万 能 密码 。 

3) 使 用 通用 CMOS 密码 

目前 大 部 分 主板 使 用 AWARD 公司 的 BIOS 程序 ,部 分 主板 使 用 AMI 公司 的 BIOS 
程序 , 某 些 厂家 在 生产 主板 时 为 自己 的 BIOS 预 留 了 通用 CMOS 密码 ,以 解 一 时 之 需 。 
其 中 AWARD BIOS 只 有 4. 51 版 以 前 的 才 有 通用 密码 。 通 用 密码 如 下 : 

AWARD BIOS: wantgirl Syxz dirid ebb h996 wnatgirl Award 

AMI BIOS: Sysg 


4. 其 他 破解 方法 


如 果 在 计算 机 的 BIOS SETUP 程序 中 设置 了 CMOS 口令 ,但 在 PASSWORD OPTION 
(密码 选项 ) 中 选择 为 SETUP 时 ,不 必 打 开机 箱 , 只 要 简单 地 利用 上 面 介绍 的 万 能 密码 程 
序 在 当前 计算 机 上 运行 一 下 , 即 可 轻松 和 准确 地 获得 这 台 计 算 机 的 CMOS 万 能 密码 , 然 
后 用 此 万 能 密码 即 可 进入 BIOS SETUP 程序 中 更 改 各 种 CMOS 参数 了 。 

1) 用 DEBUG 破解 SETUP 设置 口令 

在 计算 机 的 BIOS SETUP 程序 中 设置 了 口令 ,但 在 PASSWORD OPTION 中 选择 
为 SETUP 时 ,利用 DOS 中 的 DEBUG 程序 清除 CMOS 口令 。 

当 计 算 机 接 通 电源 时 ,首先 执行 的 是 BIOS 加 电 自 检 程 序 , 对 整个 系统 进行 全 面 的 检 
测 , 其 中 也 要 对 CMOS RAM 中 的 配置 信息 有 关 单 元 作 累 加 和 测试 ,并 与 原来 的 存储 结 
果 进 行 比较 , 当 两 者 相 吻合 时 , 则 CMOS RAM 中 的 配置 有 效 ,程序 继续 进行 其 他 测试 ， 
当 发 现 累加 和 与 原 值 不 相等 时 , 则 要 求 重新 配置 ,并 能 自动 地 按 实际 情况 进行 最 小 配置 
的 设 定 , 此 时 原来 的 CMOS 口令 也 会 被 自动 消除 。 

利用 这 一 点 ,只 要 往 CMOS RAM 中 的 80 口 10H 一 2DH( 配 置信 息 存放 单元 ) 中 的 
任 一 单元 写 入 一 个 数 , 即 可 清除 CMOS SETUP 口令 。 具 体操 作 如 下 : 

在 DOS 屏幕 下 , 先 运行 DEBUG 程序 ,输入 : 

C dabug < 回 车 > 

-07010 < 回 车 > 

对 < 回 车 > 

s 阐 < 回 车 > 


然后 重新 启动 系统 ,密码 即 被 清除 ,系统 将 要 求 重 新 配置 CMOS 参数 ,这 样 便 可 以 重 
新 进入 BIOS SETUP 接口 去 设计 系统 配置 。 

2) 输入 代码 破解 SETUP 设置 口令 

使 用 本 方法 生成 的 可 执行 文件 能 够 清除 CMOS 密码 。 本 方法 的 最 大 特点 是 不 需 使 
用 任何 工具 软件 ,而 只 需 简单 地 使 用 DOS 内 部 的 COPY 命令 ,从 键盘 上 输入 所 需 代码 ， 
并 生成 所 需 的 破解 程序 。 
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C: > copy con oms.om 

179, 55, 136, 216, 230, 112, 176, 32,230, 113, 254, 195, 128, 251, 64, 117, 241, 195 “2 (F®) 

< 回 车 > 

注意 ,输入 上 述 数 字 时 必须 用 键盘 上 的 Alt 键 加 小 键盘 上 的 数字 键 来 输入 ,其 中 的 
逗号 表示 输入 到 该 处 时 松 一 下 双手 再 继续 输入 ,而 非 真 的 输入 逗号 ;”z" 代 表 按 Ctrl 十 Z 
组 合 键 或 按 F6 键 ,结束 文件 输入 ,最 后 按 Enter 键 在 当前 目录 下 生成 可 执行 文件 。 

在 DOS 下 运行 生成 可 执行 文件 cmos. com, 再 重新 冷 启动 计算 机 ,会 发 现 原来 的 
CMOS 设置 口令 已 经 被 清除 了 。 同 样 需 注意 的 是 ,该 方法 在 某 些 计 算 机 上 可 能 会 不 起 
作用 。 

注意 ,对 于 不 熟悉 计算 机 系统 内 核 结构 和 不 熟悉 DEBUG 用 法 的 用 户 , 最 好 不 要 使 
用 上 述 两 种 方法 。 

5. 防范 CMOS 密码 的 破解 


通过 对 几 种 常见 CMOS 密码 破解 方法 的 介绍 ,可 以 了 解 到 要 破解 CMOS 密码 的 前 
提 条 件 。 采 用 硬件 破解 法 必须 能 够 打开 机 箱 ,因此 防止 硬件 破解 法 的 主要 措施 是 给 主机 
机 箱 加 上 物理 锁 。 

对 于 采用 万 能 密码 ,目前 没有 好 的 防范 措施 ,如 果 非 法 用 户 持 有 万 能 密码 ,这 开机 密 
码 的 安全 保护 措施 就 失去 了 效用 ,只 能 靠 其 他 的 安全 措施 防范 ,如 通过 操作 系统 的 安全 
机 制 。 另 外 市 场 上 有 些 硬盘 保护 卡 和 防毒 卡 也 有 开机 保护 机 制 和 密码 机 制 ,也 能 起 到 
CMOS 密码 的 功能 , 且 破 解 的 可 能 性 要 比 CMOS 密码 机 制 更 难 些 。 

要 防范 采用 工具 软件 破解 CMOS 密码 ,最 主要 是 不 能 让 非法 用 户 在 被 保护 的 计算 机 
物理 性 地 执行 工具 软件 ,可 采用 如 下 措施 。 

。 屏蔽 计算 机 的 软驱 和 光驱 ,使 之 不 能 从 软驱 和 光驱 引导 操作 系统 。 

。 使 用 者 不 能 在 计算 机 处 于 交互 状态 ( 即 可 执行 用 户 命令 的 状态 ) 时 离开 计算 机 ,如 

若 离开 计算 机 ,应 该 关机 、 锁 定 键盘 或 使 计算 机 处 于 安全 保护 状态 (例如 Windows 
2000/XP 系 统 的 带 密码 屏幕 保护 状态 ) 。 

。 有 条 件 的 用 户 可 以 给 计算 机 加 安全 保护 卡 ( 例 如 硬盘 保护 卡 和 防毒 卡 , 也 有 开机 

保护 机 制 和 密码 机 制 ) 。 

。 设置 安全 的 口令 ,定期 更 新 密码 。 


6. 设置 安全 口令 的 措施 


1) 安全 的 口令 

安全 的 口令 是 那些 很 难 猜测 的 口令 。 难 猜测 的 原因 是 因为 同时 有 大 小 写字 符 , 不 但 
有 字符 ,还 有 数字 、 标 点 符号 、 控 制 字符 和 空格 。 另 外 ,还 要 容易 记忆 ,至少 有 8 个 字符 
长 ,并 且 容 易 输入 。 

2) 不 安全 口令 

不 安全 的 口令 往往 是 任何 名 字 ( 包 括 人 名 、 软 件 名 、 计 算 机 名 其 至 幻想 中 事物 的 名 
字 ) ,电话 号 码 或 者 某 种 执照 的 号 码 ,社会 保障 号 ,任何 人 的 生日 ,其 他 很 容易 得 到 的 关于 
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自己 的 信息 ,一 些 常用 的 音调 ,任何 形式 的 计算 机 中 的 用 户 名 ,在 英语 字典 或 者 外 语 字典 
中 的 词 ,地 点 名 称 或 者 一 些 名 词 ,键盘 上 的 一 些 词 , 任 何 形式 的 上 述 词 再 加 上 一 些 数字 。 
3) 保持 安全 要 注意 下 面 的 问题 
不 要 将 口令 写 在 本 子 上 。 
不 要 将 口令 存 于 终端 功能 键 或 调制 解 调 器 的 字符 串 存储 器 中 。 
不 要 选取 显而易见 的 信息 作 口 令 。 
不 要 将 口令 告诉 别人 。 
不 要 交替 使 用 两 个 口令 。 
不 要 在 不 同系 统 上 使 用 同一 口令 。 
自己 在 输入 口令 时 不 要 让 人 看 见 。 
不 要 永久 性 地 使 用 一 个 口令 。 
4) 一 次 性 口令 
减 小 口令 危险 的 最 有 效 方法 是 根本 不 用 常规 口令 。 替 代 的 办 法 是 在 系统 中 安装 新 
的 软件 或 硬件 ,使 用 一 次 性 口令 。 一 次 性 口令 就 是 一 个 口令 只 使 用 一 次 。 一 个 用 户 可 能 
收 到 一 个 打印 输出 的 口令 列表 ,每 次 登录 使 用 完 一 个 口令 ,就 将 它 从 列表 中 删除 。 用 户 
也 可 能 得 到 一 个 可 以 携带 的 小 卡 ,这 个 卡 每 次 将 显示 一 个 不 同 的 号 。 用 户 还 可 以 携带 一 
个 小 的 计算 器 , 当 登 录 时 ,计算 机 将 会 打印 出 一 个 不 同 的 号 码 , 用 户 将 这 个 号 码 输入 这 个 
小 小 的 计算 器 中 ,然后 输入 自己 的 标志 号 码 , 计 算 器 将 输出 一 个 口令 ,用 户 将 这 个 口令 再 
输入 计算 机 中 。 
一 次 性 口令 系统 比 传统 方式 能 提供 令 人 惊奇 的 安全 性 能 。 不 幸 的 是 ,它们 要 求 安装 
一 些 特定 的 程序 或 者 需要 购买 一 些 硬件 ,因此 现在 使 用 得 并 不 普遍 。 
在 一 个 网 络 中 , 当 用 户 穿 过 Internet 或 者 其 他 的 网 络 来 访问 时 ,管理 员 就 应 该 认真 
地 考虑 使 用 一 次 性 口令 。 和 否则 ,攻击 者 可 以 窃听 、 截 获 用 户口 令 .以 后 将 攻击 这 些 站 点 。 


7. 口令 破解 实用 工具 PS 


文件 名 : PS. EXE。 
功能 : 破解 Windows 2000/XP 及 一 些 常规 口令 。 


8. 口令 破解 实用 工具 LC4SETUP 


文件 名 : LC4SETUP. EXE。 
功能 : 破解 Windows NT/XP 口令 。 


35 数据 备份 与 炭 复 技术 


随 着 计算 机 技术 和 网 络 技 术 的 迅猛 发 展 ,无 论 是 国外 还 是 国内 ,无 论 是 政府 部 门 还 
是 军事 机 构 ,也 无 论 是 国家 、 单 位 还 是 个 人 ,都 已 离 不 开 计 算 机 和 计算 机 网 络 , 可 以 说 ,人 
们 已 开始 使 用 计算 机 及 网 络 处 理 一 切 事务 ,包括 国家 计划 、 军 事 机 密 、 日 常事 务 处 理 和 家 
庭 开支 。 
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人 们 在 使 用 计算 机 及 网 络 系统 处 理 日 常 业 务 提高 工作 效率 的 同时 ,系统 安全 、 数 据 
安全 的 问题 也 越 来 越 突出 。 一 旦 系统 崩溃 或 数据 丢失 ,企业 就 会 陷 人 困境 。 客 户 资料 、 
技术 文件 、 财 务 账目 等 数据 可 能 被 破坏 得 面目 全 非 , 严 重 时 会 导致 系统 和 数据 无 法 恢复 ， 
其 结果 是 不 堪 设 想 的 。 比 如 2001 年 美国 的 “9 。11 事件 ”, 就 给 许多 大 型 企业 ,包括 一 些 
金融 机 构 带 来 了 巨大 的 损失 ,其 教训 是 深刻 的 。 

解决 上 述 问题 的 最 佳 方案 就 是 进行 系统 及 数据 备份 ,数据 备份 的 主要 目的 是 一 旦 系 
统 骨 溃 或 数据 丢失 ,就 能 用 备份 的 系统 和 数据 进行 恢复 ,使 损失 减少 到 最 小 。 

对 计算 机 系统 进行 全 面 的 备份 ,并 不 只 是 简单 地 进行 文件 备份 。 一 个 完整 的 系统 备 
份 方案 ,应 由 备份 硬件 、 备 份 软 件 .日 常备 份 制度 和 灾难 恢复 措施 4 个 部 分 组 成 。 选 择 了 
备份 硬件 和 软件 后 ,还 需要 根据 本 单位 的 具体 情况 制定 日 常备 份 制度 和 灾难 恢复 措施 ， 
并 由 系统 管理 人 员 切 实 执行 备份 制度 。 

系统 备份 的 最 终 目 的 是 保障 网 络 系统 安全 ,稳定 .可 靠 地 运行 ,所 以 一 份 优秀 的 网 络 
备份 方案 应 能 够 备份 网 络 系统 及 其 所 有 数据 ,在 网 络 出 现 故障 甚至 损坏 时 ,能 够 迅速 地 
恢复 网 络 系统 和 数据 。 从 发 现 故障 到 完全 恢复 系统 ( 含 系统 程序 ) ,理想 的 备份 方案 耗 时 
不 应 超过 半 个 工作 日 。 


351 数据 备份 策略 


1. 备份 技术 的 3 个 层次 


备份 可 以 分 为 3 个 层次 : 硬件 级 .软件 级 和 人 工 级 。 

1) 硬件 级 备份 

硬件 级 备份 是 指 用 完 余 的 硬件 来 保证 系统 的 连续 运行 。 比 如 磁盘 镜像 , 双 机 容错 等 
方式 。 如 果 主 硬件 损坏 ,后 备 硬件 马上 能 够 接替 其 工作 ,这 种 方式 可 以 有 效 地 防止 硬件 
故障 ,但 无 法 防止 数据 的 逻辑 损坏 。 当 数据 发 生 逻 辑 损坏 时 ,硬件 备份 只 会 将 错误 数据 
复制 一 遍 ,无 法 真正 保护 数据 。 硬 件 备份 的 作用 实际 上 是 保证 系统 在 出 现 故障 时 能 够 连 
续 运 行 ,硬件 级 备份 又 称 为 硬件 容错 。 

2) 软件 级 备份 

软件 级 备份 是 指 将 系统 数据 保存 到 其 他 介质 上 , 当 出 现 错误 时 可 以 将 系统 人 恢复 到 备 
份 前 的 状态 。 由 于 这 种 备份 是 由 软件 来 完成 的 .所 以 称 为 软件 备份 。 当 然 ,用 这 种 方法 
备份 和 人 恢复 都 要 花费 一 定时 间 。 但 这 种 方法 可 以 完全 防止 逻辑 损坏 .因为 备份 介质 和 计 
算 机 系统 是 分 开 的 ,错误 不 会 复制 到 介质 上 ,这 就 意味 着 只 要 保存 足够 长 的 历史 数据 ,就 
能 对 系统 及 数据 进行 完整 的 恢复 。 

3) 人 工 级 备份 

人 工 级 备份 最 为 原始 ,也 最 简单 和 有 效 。 但 如 果 要 用 手工 方式 从 头 恢复 所 有 数据 ， 
耗费 的 时 间 恐 怕 会 令 人 难以 忍受 。 

目前 采用 的 备份 措施 在 硬件 级 备份 中 有 磁盘 镜像 、 磁 盘 阵 列 和 双 机 容错 等 ;在 软件 
一 级 有 数据 备份 。 

其 实 , 理 想 的 备份 系统 是 全 方位 、 多 层次 的 。 首 先 ,要 使 用 硬件 备份 来 防止 硬件 故 
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障 ;如 果 由 于 软件 故障 或 人 为 误 操作 造成 了 数据 的 逻辑 损坏 , 则 使 用 软件 方式 和 手工 方 
式 结 合 的 方法 恢复 系统 。 这 种 结合 方式 构成 了 对 系统 的 多 级 防护 ,不 仅 能 够 有 效 地 防止 
物理 损坏 ,还 能 够 彻底 防止 逻辑 损坏 。 

但 是 理想 的 备份 系统 成 本 太 高 ,不 易 实现 。 在 设计 备份 方案 时 ,往往 只 选用 简单 的 
硬件 备份 措施 ,而 将 重点 放 在 软件 备份 措施 上 .用 高 性 能 的 备份 软件 来 防止 逻辑 损坏 和 
物理 损坏 。 


2. 传统 存储 模式 与 现代 存储 模式 


传统 的 企业 业务 数据 存储 备份 和 灾难 恢复 思想 是 : 每 天 将 企业 业务 数据 备份 在 磁带 
库 中 ,以 在 发 生 紧 急 情 况 时 实现 保护 和 人 恢复。 但 是 近年 来 ,关键 数据 的 范围 正在 日 益 扩 
大 ,处 于 常规 生产 系统 之 外 的 电子 邮件 .知识 产权 ,客户 关系 管理 .企业 计划 资源 .电子 业 
务 .电子 商务 .供应 链 和 交易 记录 都 存放 在 网 络 数据 库 中 ,再 加 上 *9。11” 事 件 之 后 ,提出 
了 对 数据 安全 存储 更 高 的 要 求 ,这 种 基于 磁带 的 传统 数据 备份 和 灾难 恢复 模式 已 经 不 能 
再 满足 新 的 客户 需求 。 因 此 ,采用 最 新 技术 信息 基础 架构 或 存储 网 络 的 新 业务 连续 性 计 
划 , 从 而 将 员工 解放 出 来 , 转 而 去 从 事 更 富生 产 力 的 工作 ,提高 人 员 和 资源 重新 部 署 的 效 
率 ,并 缩短 重新 恢复 关键 性 业务 功能 的 时 间 成 为 了 新 的 追求 。 


3. 异地 备份 


为 了 有 效 地 进行 灾难 恢复 ,重要 的 网 络 系统 和 应 用 系统 的 数据 库 必须 进行 异地 备 
份 ,这 里 指 的 “异地 ”, 指 的 是 在 两 个 以 上 不 同城 市 甚至 是 不 同 国家 之 间 进 行 热 备份 。 比 
如 ,中 国人 民 银 行 总 行 网 络 系统 的 中 心 主机 设 在 北京 ,可 同时 在 上 海 和 广州 设立 实时 热 
备份 的 主机 ,即将 银行 资料 同时 备份 在 3 个 城市 的 计算 机 上 ,如 图 3-1 所 示 。 如 果 北 京 中 
心 主机 或 主机 房 被 破坏 , 则 可 及 时 地 从 上 海 和 广州 的 存储 介质 上 恢复 系统 程序 和 数据 ， 
而 且 还 可 用 广州 或 上 海 的 主机 代替 北京 中 心 主机 继续 进行 银行 交易 活动 。 


图 3-1 异地 备份 拓扑 图 


于 合生 计算 机 系统 安全 与 数据 备份 技术 
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4. 高 效 安全 的 存储 系统 


高 效 安全 的 存储 系统 应 综合 考虑 以 下 3 个 方面 。 

。 磁带 的 存储 容量 大 数据 保存 时 间 较 长 是 其 最 大 的 优点 。 但 磁带 并 非 最 理想 的 存 
储 介质 ,就 业务 恢复 流程 而 言 ,恢复 磁带 介质 上 存储 的 数据 过 程 十 分 漫长 ,恢复 时 
间 往 往 长 达 几 天 甚至 几 周 时 间 , 且 整个 进程 往往 需要 通过 几 次 才能 完成 。 这 么 长 
的 恢复 时 间 ,会 严重 影响 企业 的 生产 和 业务 交易 。 

。 备份 必须 保证 数据 的 一 致 性 ,尤其 是 异地 备份 更 是 如 此 。 不 一 致 的 备份 不 能 算 备 
份 。 不 连贯 的 数据 备份 会 大 大 增加 数据 丢失 率 ,数据 信息 可 能 无 法 实现 匹配 或 重 
新 组 合 ,最 终 延 长 恢复 所 需 的 时 间 。 

。 操作 流程 必须 自动 化 。 在 发 生 严 重 危机 时 ,可 能 因为 交通 道路 的 关闭 ,员工 将 无 
法 前 往 恢复 站 点 履行 其 职责 。 因 此 ,理想 化 的 IT 环境 是 信息 存储 系统 能 够 自动 
执行 恢复 任务 ,而 不 必 开 展 磁带 传送 和 载 入 等 人 为 干预 和 人 工 工 作 。 


5. 存储 设备 的 选择 


1) 磁盘 

磁盘 是 最 常用 的 存储 设备 ,这 里 所 说 的 磁盘 , 指 的 是 硬 磁盘 ( 因 软 盘 的 容量 太 小 ,一 
般 不 作为 系统 备份 之 用 ) , 因 其 存 取 速度 快 ,存储 容量 大 ,所 以 , 常 作为 实时 热 备份 理想 的 
存储 设备 ,可 采用 双 硬 盘 热 备份 技术 或 磁盘 阵列 技术 进行 实时 热 备份 。 当 然 ,也 可 将 大 
容量 硬盘 作为 非 实时 的 系统 备份 之 用 。 

2) 磁带 

虽然 磁盘 越 来 越 普 及 ,但 作为 备份 工具 ,磁带 存储 仍 在 网 络 数 据 存储 中 起 着 重要 作 
用 。 另 外 ,还 可 将 磁带 备份 存放 在 非 现 场 位 置 ,还 可 以 保护 现场 数据 免 受 病毒 、 火 灾 、 自 
然 灾 害 ,偶然 删除 及 其 他 数据 丢失 问题 的 破坏 。 

较 之 于 其 他 存储 方法 ,磁带 具有 成 本 低 、 便 于 从 网 络 数 据 存储 系统 拆 装 、 防 震 且 经 久 
耐用 、 信 息 稳定 等 诸多 优点 。 

但 磁带 存储 也 有 其 不 利之 处 。 将 数据 转移 到 磁带 以 及 将 盒 带 移 和 磁带 库 要 花 一 定 
的 时 间 , 因 此 这 对 利用 磁带 在 限期 之 前 完成 备份 的 公司 来 说 是 个 难题 。 

3) 磁 鼓 

磁 鼓 的 最 大 特点 是 存 取 速度 快 ,可 作为 热 备份 的 存储 设备 。 磁 鼓 在 小 型 计算 机 上 用 
得 极 少 ,主要 用 在 大 中 型 计算 机 上 。 

4) 光盘 

光盘 也 是 一 种 常用 的 存储 备份 设备 ,由 于 单 张 光 盘 的 容量 有 限 , 若 要 用 光盘 作为 备 
份 介质 时 ,最 理想 的 是 使 用 光盘 塔 。 


352 数据 备份 技术 


1. 双 机 热 备 份 技术 
所 谓 的 双 机 热 备份 是 一 种 典型 的 硬件 元 余 备 份 技术 ,其 实现 技术 是 在 中 心 站 点 用 两 
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台 相 同 配置 和 性 能 的 计算 机 同时 运行 同一 套 系统 ,其 中 一 台 作为 主机 , 另 一 台 作为 备用 
主机 ,当主 机 发 生 故障 时 ,系统 能 自动 切换 到 备用 主机 上 运行 。 保 证 系统 运行 的 稳定 性 、 
可 靠 性 和 连续 性 。 


2. 磁盘 阵列 技术 


该 技术 支持 在 一 台 计 算 机 上 同时 使 用 两 块 以 上 硬盘 (一 块 作为 主 硬盘 ,其 余 的 作为 
备用 硬盘 ) ,系统 运行 时 ,多 块 硬盘 进行 同步 的 实时 热 备 份 。 当 主 硬盘 发 生 故 障 时 ,系统 


能 自动 切换 到 备用 硬盘 上 工作 .保证 系统 运行 的 稳定 性 和 连续 性 。 磁 盘 阵 列 技术 的 另 一 
大 特点 是 每 一 块 硬盘 都 支持 热 择 拔 。 


3. 磁盘 镜像 技术 


将 重要 的 系统 及 数据 备份 到 本 地 和 异地 的 多 台 计 算 机 中 ,其 他 用 户 要 访问 这 些 数据 
时 ,首先 到 最 近 的 镜像 站 点 去 查找 ,车 该 站 点 上 无 所 需 数据 ,再 到 中 心 站 点 主机 上 查找 ， 
如 图 3-2 所 示 。 


图 3-2 磁盘 镜像 访问 技术 


这 种 技术 的 优点 有 三 个 。 

。 提高 用 户 查 找 数 据 的 速度 和 效率 ,节省 查询 时 间 和 费用 。 

。 减轻 中 心 站 点 主机 的 负担 。 

。 事后 灾难 数据 恢复 得 到 保证 。 

磁盘 镜像 技术 可 以 同步 进行 实时 镜像 ,也 可 事后 进行 镜像 。 同 步 实时 镜像 时 要 求 有 
足够 的 带宽 。 


4. 光盘 塔 


一 般 的 计算 机 支持 的 存储 设备 是 有 限 的 .在 一 台 计 算 机 上 ,硬盘 和 光驱 的 个 数 不 能 
超过 4 个。 而 光盘 塔 则 支持 多 张 光盘 , 即 可 同时 在 多 张 光 盘 上 存储 数据 。 


353 网 络 环境 数据 备份 技术 
1. 网 络 数据 备份 系统 的 设计 目标 


前 面 介绍 过 ,网 络 备份 的 最 终 目的 是 保障 网 络 系统 持续 稳定 地 运行 。 为 在 整个 网 络 


个 计算 机 标 统 安全 与 数据 备份 技术 
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系统 内 实现 全 自动 的 数据 存储 管理 ,备份 服务 器 .备份 管理 软件 与 智能 存储 设备 的 有 机 
结合 是 这 一 目标 实现 的 基础 。 

网 络 数据 存储 管理 系统 是 在 网 络 上 选择 一 台 应 用 服务 器 ,将 之 作为 网 络 数据 存储 管 
理 服务 器 ,在 其 上 安装 网 络 数据 存储 管理 服务 器 端 软件 ,作为 整个 网 络 的 备份 服务 器 。 
在 备份 服务 器 上 连接 一 台大 容量 存储 设备 。 在 网 络 中 其 他 需要 进行 数据 备份 管理 的 服 
务 器 上 安装 备份 客户 端 软件 ,通过 局 域 网 将 数据 集中 备份 到 与 备份 服务 器 连接 的 存储 设 
备 上 。 

网 络 数据 存储 管理 系统 的 核心 是 备份 管理 软件 ,通过 规划 ,可 为 企业 建立 完善 的 备 
份 计划 及 策略 ,并 可 借助 备份 时 的 呼叫 功能 ,让 所 有 的 服务 器 备份 都 能 在 同一 时 间 进 行 。 
备份 软件 也 提供 完善 的 灾难 恢复 手段 ,能 够 将 备份 硬件 的 优良 特性 完全 发 挥 出 来 ,使 备 
份 和 灾难 恢复 时 间 大 大 缩短 ,实现 网 络 数据 备份 的 全 自动 智能 化 管理 。 

灾难 恢复 的 先决 条 件 是 要 做 好 备份 策略 及 恢复 计划 。 日 常备 份 制度 描述 了 每 天 的 
备份 以 什么 方式 .使 用 什么 备份 介质 进行 ,是 系统 备份 方案 的 具体 实施 细则 。 在 备份 方 
案 制订 完毕 后 ,应 严格 按照 制度 进行 日 常备 份 ,否则 将 无 法 达到 备份 方案 的 目标 。 


2. 网 络 数据 备份 策略 


网 络 数据 存储 管理 系统 是 指 在 分 布 式 网 络 环境 下 ,通过 专业 的 数据 存储 管理 软件 ， 
结合 相应 的 硬件 和 存储 设备 ,来 对 全 网 络 的 数据 备份 进行 集中 管理 ,从 而 实现 自动 化 的 
备份 .文件 归档 ,数据 分 级 存储 以 及 灾难 恢复 等 。 

网 络 数 据 备份 有 多 种 方式 ,其 备份 技术 有 全 备份 、 增 量 备份 和 差分 备份 。 

1) 全 备份 (full backup) 

所 谓 全 备份 就 是 用 一 盘 磁 带 对 整个 系统 进行 完全 备份 ,包括 系统 和 数据 。 这 种 备份 
方式 的 好 处 就 是 很 直观 ,容易 被 人 理解 。 而 且 当 发 生 数据 丢失 的 灾难 时 ,只 要 用 一 盘 磁 
带 ( 即 灾难 发 生 之 前 的 备份 磁带 ) ,就 可 以 恢复 丢失 的 数据 。 然 而 它 也 有 不 足 之 处 : 首先 
由 于 每 天 都 对 系统 进行 完全 备份 ,因此 在 备份 数据 中 有 大 量 是 重复 的 ,例如 操作 系统 与 
应 用 程序 。 这 些 重复 的 数据 占用 了 大 量 的 磁带 空间 ,这 对 用 户 来 说 就 意味 着 增加 成 本 ， 
其 次 ,由 于 需要 备份 的 数据 量 相当 大 ,因此 备份 所 需 时 间 较 长 。 对 于 那些 业务 繁忙 ,备份 
窗口 小 的 用 户 来 说 ,选择 这 种 备份 策略 无 疑 是 不 明智 的 。 

2) 增 量 备份 (incremental backup) 

增 量 备份 技术 是 每 次 备份 的 数据 是 相对 于 上 一 次 备份 后 增加 的 和 修改 过 的 数据 。 
这 种 备份 的 优点 很 明显 ,没有 重复 的 备份 数据 , 既 节 省 了 磁带 空间 ,又 缩短 了 备份 时 间 。 
但 它 的 缺点 在 于 当 发 生 灾难 时 ,恢复 数据 比较 麻烦 。 如 果 系 统 发 生 了 故障 ,丢失 大 批 数 
据 , 需 要 将 系统 恢复 。 这 时 管理 员 必 须 找 出 每 一 天 的 备份 磁带 ,一 天 一 天 地 进行 恢复 。 
很 明显 这 比 全 备份 策略 麻烦 得 多 。 另 外 这 种 备份 可 靠 性 也 差 。 在 这 种 备份 下 ,各 磁带 
间 的 关系 就 像 链子 一 样 ,一 环 套 一 环 , 其 中 任何 一 盘 磁带 出 了 问题 都 会 导致 整 条 链子 
脱节 。 

3) 差分 备份 (differential backup) 

差分 备份 就 是 每 次 备份 的 数据 是 相对 于 上 一 次 全 备份 之 后 新 增加 的 和 修改 过 的 数 
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据 。 管 理 员 先 在 星期 一 进行 一 次 系统 完全 备份 ;然后 ,管理 员 再 将 当天 所 有 与 星期 一 不 
同 的 数据 (新 建 的 或 更 改 的 ) 备 份 到 磁带 上 。 举 例 来 说 ,在 星期 一 ,网 络 管理 员 进 行 系统 
完全 备份 ;在 星期 二 ,假设 系统 内 只 多 了 一 份 “资产 清单 ”于 是 管理 员 只 需 将 这 份 “资产 
清单 "备份 下 来 即 可 ;在 星期 三 ,假设 系统 内 又 多 了 一 份 “ 产 品目 录 ”, 于 是 管理 员 要 将 这 
份 “产品 目录 ”连同 星期 二 的 那 份 “ 资 产 清单 ”一 并 备份 下 来 。 如 果 在 星期 四 系统 内 又 多 
了 一 张 “工资 表 ”, 那 么 星期 四 需要 备份 的 内 容 就 是 “工资 表 十 产品 目录 十 资产 清单 ”如 
图 3-3 所 示 。 


系统 及 数据 资产 清单 | 产品 目录 | | 工资 表 


系统 及 数据 ] [资产 清单 帘 产 清 单 |[ 宰 记 清 


品目 录 | | 产品 目录 
工资 表 
EREETEETTEETIT 


图 3-3 差分 备份 技术 


由 此 可 以 看 出 ,全 备份 所 需 时 间 最 长 ,但 恢复 时 间 最 短 , 操 作 最 方便 , 当 系 统 中 数据 
量 不 大 时 ,采用 全 备份 最 可 靠 ;差分 备份 在 避免 了 另外 两 种 策略 缺陷 的 同时 ,又 具有 了 它 
们 的 所 有 优点 。 首 先 , 它 无 需 每 天 都 做 系统 完全 备份 ,因此 备份 所 需 时 间 短 ,并 节省 磁带 
空间 ;其 次 , 它 的 灾难 恢复 也 很 方便 ,系统 管理 员 只 需 两 盘 磁带 , 即 星期 一 的 磁带 与 发 生 
前 一 天 的 磁带 ,就 可 以 将 系统 完全 恢复 。 我 们 在 备份 时 要 根据 它们 各 自 的 特点 灵活 
使 用 。 

灾难 恢复 措施 在 整个 备份 制度 中 占有 相当 重要 的 地 位 。 因 为 它 关 系 到 系统 、 软 件 与 
数据 在 经 历 灾难 后 能 否 迅 速 恢复 如 初 。 全 盘 恢 复 一 般 应 用 在 服务 器 发 生意 外 灾难 导致 
数据 全 部 丢失 .系统 崩溃 或 是 有 计划 的 系统 升级 .系统 重组 等 ,也 称 为 系统 恢复 。 随 着 备 
份 设备 应 用 技术 的 高 速 发 展 , 惠 普 于 1999 年 5 月 就 推出 了 拥有 单 键 恢复 (OBDR ) 功 能 的 
磁带 机 ,只 需 先 用 系统 盘 引 导 机 器 启动 ,将 磁带 插入 磁带 机 , 按 动 一 个 按键 即 可 将 整个 系 
统 恢复 如 初 。 单 键 恢复 (又 叫 一 键 恢 复 ) 的 技术 将 成 为 现在 和 将 来 备份 技术 的 主流 。 


3. 数据 备份 方式 


。 自动 备份 进程 由 备份 服务 器 承担 。 每 天 晚上 ,自动 按照 事先 制订 的 时 间 表 所 要 求 
内 容 , 进 行 增 量 或 全 备份 。 

批 前 及 批 后 备份 。 在 主机 端 , 由 批 处 理 人 员 输 入 触发 备份 命令 ,自动 按 要 求 备份 
数据 库 有 关内 容 。 

。 其 他 文件 的 自由 备份 。 进 入 软件 交互 菜单 ,选择 要 求 备份 的 文件 后 备份 。 

在 线 跟踪 备份 。 配 合 数据 存储 管理 软件 的 数据 库 在 线 备 份 功能 ,可 定义 实时 或 定 
时 将 日 志 备份 。 

灾难 备份 异地 存放 介质 的 克隆 。 自 动 复制 每 日 完成 后 的 数据 ,并 进行 异地 备份 以 
作 灾 难 恢复 。 
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4. 理想 的 网 络 备份 方法 


在 网 络 系统 安全 建设 中 , 必 不 可 少 的 一 个 环节 就 是 数据 的 常规 备份 和 历史 保存 。 一 
般 来 说 ,本 地 备份 的 目的 主要 有 两 个 ,一 个 是 及 时 在 本 地 实现 数据 的 恢复 ; 另 一 个 在 发 生 
地 域 性 灾难 时 ,及 时 在 本 地 或 异地 实现 数据 及 整个 系统 的 灾难 恢复 。 此 外 ,更 应 建立 历 
史 归 档 数据 的 异地 存放 制度 ,确保 对 历史 业务 数据 可 靠 恢复 与 有 效 稽核 的 实现 。 

综 上 所 述 ,理想 的 网 络 备份 系统 应 该 具备 以 下 功能 : 

。 集中 式 管 理 。 利 用 集中 式 管 理 , 系 统管 理 员 可 对 全 网 的 备份 策略 进行 统一 管理 ， 
备份 服务 器 可 以 监控 所 有 机 器 的 备份 作业 ,也 可 以 修改 备份 策略 ,及 时 浏览 所 有 
目录 。 

全 自动 的 备份 。 备 份 系统 能 根据 用 户 的 实际 需求 ,定义 需要 备份 的 数据 ,然后 以 
图 形 界 面 方式 根据 需要 设置 备份 时 间 表 。 备 份 系统 将 自动 启动 备份 作业 ,无 需 人 
工 干 预 。 

数据 库 备 份 和 恢复 。 如 果 数 据 库 系统 是 基于 文件 系统 的 ,可 以 用 备份 文件 的 方法 
备份 数据 库 。 目 前 的 数据 库 系 统 都 相当 复杂 和 庞大 ,是 否 能 够 将 需要 的 数据 从 庞 
大 的 数据 库 文件 中 抽取 出 来 进行 备份 ,是 网 络 备份 系统 是 否 先进 的 标志 之 一 。 

在 线 式 索引 。 备 份 系统 应 为 每 天 的 备份 在 服务 器 中 建立 在 线 式 索引 , 当 用 户 需要 
恢复 时 ,只 需 选 取 在 线 式 索引 中 需要 恢复 的 文件 或 数据 ,该 系统 就 会 自动 进行 文 
件 的 恢复 。 

归档 管理 。 用 户 可 以 按 项 目 . 时 间 , 定 期 对 所 有 数据 进行 有 效 的 归档 处 理 。 提 供 
统一 的 Open Tape Format 数据 存储 格式 ,从 而 保证 所 有 的 应 用 数据 由 一 个 统一 
的 数据 格式 来 做 永久 的 保存 ,以 保证 数据 的 永久 可 利用 性 。 

有 效 的 媒体 管理 。 备 份 系统 对 每 一 个 用 于 作 备 份 的 磁带 自动 加 入 一 个 电子 标签 ， 
同时 在 软件 中 提供 识别 标签 的 功能 ,只 需 执行 这 一 功能 ,就 能 迅速 知道 该 磁带 的 
内 容 。 

HSM 分 级 存储 管理 。 对 出 版 业 ,制造 业 等 易 产 生 大 量 资料 数据 的 行业 而 言 ,资料 
多 属于 极 占 空间 的 图 形 影 像 , 且 每 张 设计 底稿 及 文件 资料 又 常 需 随时 保持 在 线 状 
态 , 分 级 存储 管理 (Hierarchical Storage Management, HSM) 系 统 是 一 个 合适 的 
在 线 备份 解决 方案 。 

系统 灾难 恢复 。 网 络 备份 的 最 终 目 的 是 保障 网 络 系统 能 持续 、 稳 定 地 运行 。 所 以 
优秀 的 网 络 备份 方案 应 能 够 备份 系统 的 关键 数据 ,在 网 络 出 现 故 障 甚至 损坏 时 ， 
能 够 迅速 地 恢复 网 络 系统 。 

满足 系统 不 断 增加 的 需求 。 备 份 软件 必须 能 支持 多 平台 系统 , 当 网 络 上 连接 了 其 
他 的 应 用 服务 器 时 ,只 需 在 其 上 安装 支持 这 种 服务 器 的 客户 端 软件 即 可 将 数据 备 
份 到 磁带 库 或 光盘 库 中 。 


354 灾难 恢复 技术 
局 域 网 环境 下 的 系统 恢复 , 绝 非 备份 数据 和 故障 后 恢复 那么 简单 。 一 个 完备 的 局 域 
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网 灾难 恢复 策略 ,应 当 对 影响 局 域 网 正常 运转 的 所 有 事件 有 相应 的 策略 。 从 根本 上 说 ， 
这 种 恢复 策略 应 当 包括 3 个 重要 部 分 : 数据 保护 、 灾 难 防备 和 事后 恢复 。 


1. 备份 软件 


对 保护 数据 来 说 ,功能 完善 .使 用 灵活 的 备份 软件 必 不 可 少 。 合 格 的 备份 软件 应 当 
具有 以 下 功能 。 
保证 备份 数据 的 完整 性 ,并 具有 对 备份 介质 (比如 磁带 ) 的 管理 能 力 。 数 据 完整 性 
是 系统 恢复 后 立即 可 用 的 前 提 , 因 此 ,只 有 保证 数据 完整 性 ,数据 备份 才 有 意义 。 
超大 系统 的 备份 介质 管理 需要 备份 软件 的 参与 和 支持 。 特 别 是 ,备份 软件 需要 具 
有 “通知 机 制 ", 可 以 提醒 系统 管理 员 何 时 更 换 备份 介质 , 何 时 从 备份 设备 中 取出 
备份 介质 ,为 系统 管理 员 建 议 介 质 轮换 周期 .备份 策略 。 
支持 多 种 备份 方式 ,可 以 定时 自动 备份 。 除 了 支持 常规 备份 方式 (完全 式 、 增 量 式 
和 差分 式 ) 以 外 ,还 可 以 设置 备份 自动 启动 和 停止 的 日 期 ,记录 系统 配置 以 供 重 
用 ,处 理 备份 中 的 各 种 情况 。 
具有 相应 的 功能 或 工具 ,进行 设备 管理 介质 管理 。 这 种 功能 或 工具 应 当 支 持 各 
种 类 型 的 介质 ,包括 级 联 式 磁带 、 磁 带 库 .磁带 组 和 磁带 阵列 等 。 备 份 软件 应 当 保 
存 设备 和 介质 活动 记录 ,诸如 磁带 首次 格式 化 的 时 间 ,格式 化 次 数 。 
支持 多 种 校 验 手 段 , 以 保证 备份 的 正确 性 。 备份 软 件 至 少 应 当 提供 字 节 校 验 、 
CRC( 循 环 宛 余 校 验 ) 校 验 和 快速 磁带 扫描 等 手段 。 还 应 该 提供 磁带 到 磁带 的 复 
制 和 比较 功能 ,并 对 写 人 磁带 的 数据 提供 保护 。 
提供 联机 数据 备份 功能 。 在 联机 状态 下 进行 数据 备份 对 许多 系统 都 是 一 大 挑战 。 
但 是 ,合格 的 备份 软件 必须 具备 这 一 功能 ,因为 对 依靠 数据 库 服务 器 管理 数据 的 
应 用 系统 来 说 ,这 一 功能 必 不 可 少 。 

除了 以 上 功能 外 ,更 完善 的 备份 软件 还 支持 RAE 磁带 容错 技术 和 图 像 备份 功能 。 
前 者 保证 个 别 磁带 遭 到 破坏 时 ,整个 备份 仍然 可 用 。 后 者 使 用 户 可 以 绕 开 系统 ,对 图 像 
快速 备份 。 


2. 恢复 的 选择 和 实施 技术 


数据 备份 只 是 系统 成 功 恢复 的 前 提 之 一 。 人 恢复 数据 还 需要 备份 软件 提供 各 种 灵活 
的 恢复 选择 ,如 按 介 质 、 目 录 树 、 磁 带 作 业 或 查询 子 集 等 不 同方 式 做 数据 恢复 。 此 外 ,还 
要 认真 完成 一 些 管理 工作 .定期 检查 ,确保 备份 的 正确 性 ;将 备份 磁带 保存 在 异地 一 个 安 
全 的 地 方 (如 专门 的 磁带 库 或 银行 保险 箱 ) ,按照 数据 增加 和 更 新 速度 选择 恰当 的 备份 周 
期 。 一 般 而 言 ,部 分 备份 周期 不 应 该 超过 一 个 月 。 

服务 器 的 保护 对 客户 机 /服务 器 环境 而 言 ,传统 的 针对 大 型 主机 的 恢复 策略 是 不 适 
用 的 。 客 户 机 /服务 器 环境 恢复 的 关键 是 保护 好 服务 器 管理 的 数据 。 而 服务 器 磁盘 的 安 
全 有 效 又 是 保护 数据 的 关键 。 因 此 ,配备 高 性 能 ,具有 容错 能 力 的 磁盘 存储 器 ,是 保护 服 
务 器 的 有 力 措 施 之 一 。 
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3. 灾难 恢复 


灾难 恢复 措施 在 整个 备份 制度 中 占有 相当 重要 的 地 位 。 因 为 它 关系 到 系统 在 经 历 
灾难 后 能 否 迅 速 恢复 。 灾 难 恢复 操作 通常 可 以 分 为 两 类 ,全 盘 恢 复 和 个 别 文件 恢复 。 还 
有 一 种 就 是 重 定向 恢复 。 
。 全 盘 恢复 。 全 盘 恢 复 又 称 系统 恢复 ,一 般 应 用 在 服务 器 发 生意 外 灾难 时 导致 数据 
全 部 丢失 .系统 裔 省, 或 是 有 计划 的 系统 升级 .系统 重组 等 。 

。 个 别 文件 恢复 。 个 别 文件 恢 复 要 比 全 盘 恢 复 常见 得 多 。 利 用 网 络 备份 系统 的 恢 
复 功能 ,很 容易 恢复 受 损 的 个 别 文件 。 只 需 浏览 备份 数据 库 或 目录 ,找到 该 文件 ， 
触发 恢复 功能 即 可 。 

。 重 定向 恢复 。 重 定向 恢复 是 将 备份 的 文件 恢复 到 另 一 个 不 同 的 位 置 或 系统 上 去 。 

重 定向 恢复 可 以 是 整个 系统 恢复 ,也 可 以 是 个 别 文件 恢复 。 重 定向 恢复 时 需要 慎 
重 考虑 ,要 确保 系统 或 文件 恢复 后 的 可 用 性 。 


4. 自 启动 恢复 


系统 灾难 通常 会 使 企业 丢失 数据 或 者 无 法 使 用 数据 。 利 用 备份 软件 可 以 恢复 丢失 
的 数据 ,但 是 ,重新 使 用 数据 并 非 易 事 。 很 显然 ,要 想 重 新 使 用 数据 并 恢复 整个 系统 , 首 
先 必须 将 服务 器 恢复 到 正常 运行 状态 。 为 了 提高 恢复 效率 、 减 少 服务 停止 时 间 , 应 当 使 
用 * 自 启动 恢复 "软件 工具 。 通 过 执行 一 些 必要 的 恢复 功能 , 自 启动 恢复 软件 可 以 确定 服 
务 器 需要 的 配置 和 驱动 。 因 此 ,无 须 重新 人 工 安装 、 配 置 操作 系统 ,也 不 需要 重新 安装 、 
配置 磁带 恢复 软件 及 应 用 程序 。 此 外 , 自 启动 恢复 软件 还 可 以 生成 备用 服务 器 的 数据 集 
和 配置 信息 ,以 简化 备用 服务 器 的 维护 。 


5. 病毒 防护 


如 果 系 统 中 潜伏 着 病毒 ,那么 即使 数据 和 系统 配置 没有 丢失 ,服务 器 中 的 数据 也 不 
能 保证 其 正确 性 。 因 此 ,病毒 防护 也 是 灾难 恢复 的 重要 内 容 。 在 数据 和 程序 进入 网 络 之 
前 ,要 作 病 毒 的 检验 和 清除 处 理 。 更 为 重要 的 是 ,要 对 整个 网 络 自 动 监控 ,防止 新 病毒 出 
现 和 传播 。 这 些 功能 只 有 在 强大 的 防 病毒 软件 支持 下 才能 实现 。 防 病毒 软件 应 该 与 其 
他 防 灾 方 案 密切 配合 ,同时 互相 透明 。 总 而 言 之 ,一 个 完整 的 灾难 恢复 方案 必须 包括 很 
强 的 病毒 防护 策略 和 技术 手段 。 


6. 异地 容 灾 技 术 


异地 容 灾 技 术 的 核心 就 在 于 在 不 同 的 地 方 将 灾难 化 解 ,在 实践 中 主要 表现 为 两 个 方 
面 : 一 是 保证 企业 数据 的 安全 .二 是 保证 业务 的 连续 性 。 由 于 工作 站 点 和 灾难 恢复 站 点 
运行 同样 的 系统 ,包括 操作 系统 、 基 础 数据 库 和 应 用 软件 ,并 通过 数据 复制 管理 器 完成 在 
线 和 实时 的 本 地 复制 ,或 者 通过 光纤 通道 的 远程 数据 复制 。 假 如 工作 站 点 发 生 灾难 ,不 
能 再 继续 工作 ,这 时 容 灾 中 心 会 将 业务 数据 及 时 恢复 到 备用 服务 器 上 ,并 自动 将 业务 切 
换 到 备用 服务 器 ,然后 实现 业务 的 远程 切换 ,恢复 系统 不 间断 的 运行 ,在 容 灾 中 心 实现 应 
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用 的 异地 容 灾 , 这 个 过 程 只 需要 几 秒 或 者 几 分 钟 的 时 间 

由 于 异地 容 灾 的 核心 就 是 在 工作 站 点 以 外 的 地 方 将 灾难 化 解 ,所 以 异地 容 灾 解决 方 
案 的 基本 原理 就 是 在 工作 站 点 一 定 距离 之 外 设立 灾难 恢复 站 点 ,然后 通过 网 络 设备 将 生 
产 站 点 和 灾难 恢复 站 点 连接 起 来 ,以 实现 实时 的 数据 同步 。 异 地 容 灾 解 决 方案 以 存储 区 
域 网 络 为 基础 ,在 存储 区 域 网 络 与 网 络 之 间 采 用 光纤 通道 交换 技术 来 实现 连接 。 

异地 容 灾 系统 的 关键 技术 包括 网 络 技术 、 存 储 技术 及 解决 方案 。 从 网 络 层面 而 言 ， 
无 论 是 ATM 网 络 还 是 光纤 网 络 , 都 已 经 在 世界 各 地 得 到 了 广泛 的 应 用 ;在 存储 技术 方 
面 ,磁盘 阵列 (Redundant Arrays of Independent Disks, RAID) 技 术 已 经 成 熟 ,磁盘 阵列 
的 应 用 已 经 遍布 全 球 每 一 个 角落 ;存储 区 域 网 络 在 世界 各 地 也 得 到 了 全 面 的 认同 

一 般 来 说 ,异地 容 灾 的 技术 分 为 两 种 。 

。 基于 主机 系统 的 数据 恢复 是 通过 软件 形式 来 实现 的 ,目前 各 大 数据 库 厂 商都 是 通 
过 这 种 方法 实现 对 数据 库 中 数据 的 备份 。 有 关 数 据 安全 性 方面 的 公司 ,比如 像 
IBM、VERITAS 都 推出 了 一 系列 的 跨 平台 存储 管理 软件 的 解决 方案 。 基 于 主机 
系统 的 数据 复制 能 够 把 数据 定期 .在 线 地 复制 到 目的 地 的 机 器 上 去 。 对 用 户 来 
说 ,这 种 复制 方式 的 优点 是 能 够 较 好 地 保证 数据 的 一 致 性 ,但 它 将 消耗 大 量 的 主 
机 资源 ,这 种 方式 要 求 做 任何 一 笔 交易 ,都 要 实时 地 将 结果 发 送 到 远程 的 站 点 中 ， 
等 待 远程 操作 结束 后 ,再 执行 下 一 笔 交易 。 在 实际 操作 中 ,很 难 做 到 这 一 点 ,只 能 
做 异步 的 数据 复制 。 
基于 智能 存储 系统 的 远程 镜像 。 这 种 方法 是 基于 控制 器 的 远程 复制 ,具有 在 主 副 
存储 子 系统 之 间 同 步 数据 镜像 的 能 力 , 对 主机 的 资源 占用 很 小 ,能 保证 业务 正常 
运行 下 的 1/O 响应 。 但 缺点 是 会 受 通信 链 路 的 通信 条 件 的 影响 。 当 带宽 不 够 的 
时 候 , 只 能 做 远程 的 异步 复制 。 

用 户 如 何 选 择 这 两 种 技术 呢 ? 比较 而 言 , 由 于 基于 智能 存储 的 远程 复制 是 通过 硬件 
实现 复制 ,其 稳定 性 优 于 基于 主机 系统 的 复制 ,但 在 灵活 性 和 兼容 性 上 要 差 一 些 。 

在 企业 的 一 些 中 低 端 应 用 中 ,当成 本 预算 较 紧 .主机 资源 又 不 是 瓶颈 的 情况 下 ,可 以 
考虑 选用 基于 主机 系统 的 通过 软件 实现 复制 的 方法 ;而 对 于 企业 中 的 一 些 关键 应 用 , 比 
如 银行 业务 .电信 计 费 ,大 型 企业 业务 以 及 政府 的 办 公 系统 数据 等 ,由 于 可 靠 性 要 求 高 ， 
业务 不 能 中 断 ,需要 选用 针对 企业 的 高 端 应 用 的 容 灾 解 决 方案 。 


习 要 3 


. 国际 上 对 计算 机 安全 的 定义 是 什么 ? 

. 计算 机 系统 的 安全 保护 技术 有 哪些 ? 

. 软件 的 集中 式 管理 方式 的 优 缺 点 分 别 是 什么 ? 

. CMOS 口令 的 破解 方法 有 哪 几 种 ? 

. 数据 备份 的 层次 是 如 何 划 分 的 ? 

.网 络 数据 备份 技术 有 哪 几 种 ? 

. 全 备份 、 增 量 备份 和 差分 备份 各 自 的 功能 是 什么 ? 
. 在 数据 备份 技术 中 ,什么 是 重 定向 恢复 技术 ? 


oo om 
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41 信息 安全 技术 概 壕 


当今 世界 是 信息 的 时 代 , 通 信 技 术 、 计 算 机 技术 和 计算 机 网 络 技术 的 迅猛 发 展 大 大 
提高 了 信息 的 获取 、 处 理 、 传 输 ,存储 和 应 用 能 力 ,信息 数字 化 已 经 成 为 普遍 现象 。 随 着 
互联 网 的 普及 和 应 用 ,更 方便 了 信息 的 共享 和 交流 ,使 信息 技术 的 应 用 已 经 扩展 到 社会 
经 济 ,政治 .军事 .个 人 生活 等 各 个 领域 。 因 此 ,信息 安全 的 重要 性 可 以 上 升 到 国家 安全 
的 高 度 。 可 以 说 ,当今 的 社会 ,已 离 不 开 计 算 机 网 络 , 更 离 不 开 信息 。 因 此 ,学 习 和 掌握 
好 信息 安全 知识 ,掌握 好 计算 机 网 络 安全 技术 ,是 人 们 的 当务之急 。 


411 信息 安全 的 目标 


信息 安全 的 目标 是 保护 信息 的 机 密 性 、 完 整 性 、 真 实 性 、 抗 否认 性 、 可 用 性 和 访问 控 
制 。 通 常 将 机 密 性 完整 性 和 可 用 性 称 为 CIA 技术 。 

保护 信息 的 机 密 性 有 两 个 含义 ,其 一 是 阻止 非 授 权 用 户 非法 访问 和 获取 信息 , 即 保 
证 信息 不 被 非 授 权 访 问 ;其 二 是 对 信息 进行 加 密 处 理 ,即使 非 授 权 用 户 得 到 信息 也 无 法 
知晓 信息 内 容 , 因 而 不 能 使 用 。 通 常 通过 访问 控制 阻止 非 授 权 用 户 获得 机 密 信息 ,通过 
加 密 变换 阻止 非 授 权 用 户 获知 信息 内 容 。 


1. 完整 性 服务 


完整 性 是 指 维护 信息 的 一 致 性 , 即 信息 在 生成 .传输 ,存储 和 使 用 过 程 中 不 应 发 生 人 
为 或 非 人 为 的 非 授 权 自 改 。 一 般 通 过 访问 控制 阻止 自 改 行为 ,同时 通过 消息 摘要 算法 来 
检验 信息 是 否 被 自 改 。 


2. 机 密 性 服务 


将 系统 中 的 敏感 信息 进行 秘密 传输 或 存储 ,保证 消息 的 机 密 性 ,根据 消息 内 容 的 结 
构 ,可 以 将 保密 服务 实施 在 不 同 的 层次 上 。 最 常用 的 保密 服务 是 在 特定 的 时 间 段 内 保护 
两 个 用 户 之 间 传 输 的 所 有 消息 不 发 生 泄露 。 
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3. 抗 否认 服务 


抗 否认 服务 又 称 抗 赖 服务 , 指 的 是 能 保障 用 户 无 法 在 事后 否认 曾经 对 信息 进行 的 生 
成 .签发 和 接收 等 行为 ,是 针对 通信 各 方 信息 真实 性 的 安全 要 求 。 一 般 通 过 数字 签名 和 
身份 认证 技术 来 提供 抗 否 认 服 务 。 抗 否认 服务 在 电子 商务 的 应 用 中 起 着 非常 重要 的 
作用 。 


4. 可 用 性 服务 


可 用 性 是 指 保障 信息 资源 随时 可 提供 服务 的 特性 , 即 授权 用 户 根据 需要 可 以 随时 访 
问 所 需 信息 。 可 用 性 是 信息 资源 服务 功能 和 性 能 可 靠 性 的 度量 ,涉及 物理 网络. 系统 、 
数据 .应 用 和 用 户 等 多 方面 的 因素 ,是 对 信息 网 络 总 体 可 靠 性 的 要 求 。 


5. 真实 性 服务 


消息 认证 用 于 保证 消息 的 真实 性 ,在 消息 单 向 传输 中 ,认证 的 功能 是 使 消息 的 接收 
者 相信 消息 确实 来 源 于 该 消息 所 声明 的 信 源 。 在 双向 传输 中 ,认证 服务 涉及 通信 双方 ， 
在 连接 发 起 时 ,认证 服务 确保 通信 双方 身份 的 真实 性 。 在 连接 建立 后 认证 服务 还 应 该 保 
证 该 连接 不 被 第 三 方 假冒 。 


6. 访问 控制 


在 网 络 环境 中 ,访问 控制 的 目的 是 限制 用 户 对 网 络 资源 的 非 授 权 访问 。 每 个 试图 访 
问 网 络 的 实体 都 必须 识别 其 身份 ,身份 得 到 鉴别 后 即 可 获得 为 其 定制 的 访问 权限 。 同 时 
还 应 该 对 各 合法 用 户 的 访问 权 实施 授权 保密 、 变 更 和 收回 等 管理 服务 。 


412 信息 加 密 与 信息 安全 


信息 安全 是 一 门 交 叉 学 科 , 涉 及 多 方面 的 理论 和 应 用 知识 。 除 了 数学 、 通 信和 计算 
机 等 自然 科学 外 ,还 涉及 法 律 、 心 理学 等 社会 科学 。 

信息 安全 研究 可 分 为 基础 理论 研究 、 应 用 技术 研究 和 安全 管理 研究 等 几 个 方面 。 

。 基础 理论 研究 包括 密码 研究 .安全 理论 研究 。 

。 应 用 技术 研究 包括 安全 实现 技术 安全 平台 技术 研究 。 

。 安全 管理 研究 包括 安全 标准 、 安 全 策略 ` 安 全 测评 研究 。 

在 本 节 中 ,介绍 的 是 密码 理论 及 加 密 应 用 技术 。 


1. 密码 理论 


密码 理论 (cryptography) 是 信息 安全 的 基础 ,信息 安全 的 机 密 性 、 完 整 性 和 抗 否认 性 
都 依赖 于 密码 算法 。 通 过 信息 加 密 技术 保护 信息 的 机 密 性 ;通过 信息 摘要 技术 检测 信息 
的 完整 性 ;通过 数字 签名 技术 保护 信息 的 抗 否 认 性 。 加 密 变换 需要 密 钥 ,因为 任何 人 只 
要 拥有 了 密 钥 就 能 轻而易举 地 破译 用 户 的 密 文 ,所 以 , 密 钥 的 保护 、 传 输 与 管理 是 十 分 重 
要 的 研究 内 容 。 因 此 ,密码 学 的 主要 研究 内 容 是 加 密 算法 、 消 息 摘要 算法 ,数字 签名 算法 
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以 及 密 钥 管理 技术 。 

1) 数据 加 密 (data encryption) 

数据 加 密 算法 是 对 明文 实施 一 种 数学 变换 ,用 选 定 参 数 ( 密 钥 ) ,将 信息 从 易于 理解 
的 明文 加 密 为 不 易 理 解 的 密 文 ,同时 也 可 以 将 密 文 解密 为 明文 。 加、 解密 时 用 的 密 钥 可 
以 相同 ,也 可 以 不 同 。 加 、 解 密 密 钥 相同 的 算法 称 为 对 称 算法 ,或 称 为 对 称 密 钥 体 制 , 典 
型 的 对 称 加 密 算法 有 DES、AES 等 ;加 、 解 密 密 钥 不 同 的 算法 称 为 非 对 称 算法 ,通常 一 个 
密 钥 公开 , 另 一 个 密 钥 私 藏 ,因而 也 称 为 公开 密 钥 算 法 ,简称 为 公 钥 算法 ,典型 的 公 钥 算 
法 有 RSA、ECC 等 。 

2) 消息 摘要 (message digest) 

消息 摘要 算法 并 不 对 整个 消息 正文 进行 加 密 , 而 只 对 摘要 内 容 进行 加 密 , 其 目的 是 
缩短 消息 加 密 的 时 间 ,提高 数据 的 传输 效率 。 消 息 摘要 算法 也 是 一 种 数学 变换 ,通常 是 
单 向 (不 可 北 ) 的 变换 , 它 将 不 定 长 度 的 信息 变换 为 固定 长 度 ( 如 64 位 或 128 位 ) 的 摘要 ， 
信息 的 任何 改变 (即使 是 1b) 也 能 引起 摘要 内 容 的 面目 全 非 , 因 而 可 以 通过 消息 摘要 检测 
消息 在 传输 过 程 中 是 否 被 算 改 。 典 型 的 消息 摘要 算法 有 MD5、SHA 等 。 

3) 数字 签名 (digital signature) 

数字 签名 技术 是 消息 摘要 算法 和 非 对称 加 密 算法 的 有 机 结合 与 应 用 。 从 原理 上 讲 ， 
通过 私有 密 钥 用 非 对 称 算法 对 信息 本 身 进 行 加 密 , 即 可 实现 数字 签名 功能 。 用 私 钥 加 密 
只 能 用 公 钥 解密 ,使 得 接受 者 可 以 解密 信息 ,但 无 法 生成 用 公 钥 解密 的 密 文 ,从 而 证 明 此 
密 文 肯定 是 拥有 加 密 私 钥 的 用 户 所 为 ,因而 是 不 可 否认 的 。 实 际 实现 时 ,由 于 非 对 称 算 
法 加 /解密 速度 很 惕 ,通常 先 计 算 消息 摘要 ,再 用 非 对称 加 密 算法 对 消息 摘要 进行 加 密 而 
获得 数字 签名 。 

4) 密 钥 管理 (key management) 

密码 算法 是 可 以 公开 的 ,但 密 钥 必须 严格 保护 。 如 果 非 授权 用 户 获 得 加 密 算法 和 密 
钥 , 则 很 容易 破解 或 伪造 密 文 ,信息 加 密 也 就 失去 了 意义 。 密 钥 管 理 研究 就 是 研究 密 钥 
的 产生 ,发放 ,存储 ,更 换 和 销毁 的 算法 和 协议 。 


2. 信息 安全 技术 


1) 身份 认证 (authentication) 

身份 认证 是 指 验 证 用 户 身 份 与 其 所 声称 的 身份 是 否 一 致 的 过 程 。 最 常见 的 身份 认 
证 是 口令 认证 。 口 令 认证 是 在 用 户 注册 时 记录 下 其 用 户 名 和 口令 ,在 用 户 请 求 服务 时 出 
示 用 户 名 和 口令 ,通过 比较 其 出 示 的 用 户 名 和 口令 与 注册 时 记录 下 的 是 否 一 致 来 鉴别 身 
份 的 真 伪 。 复 杂 的 身份 认证 则 需要 基于 可 信 的 第 三 方 权威 认证 机 构 的 保证 和 复杂 的 密 
码 协 议 来 支持 ,如 基于 证 书 认证 中 心 (CA) 和 公 钥 算法 的 认证 等 。 

身份 认证 研究 的 主要 内 容 包括 认证 的 特征 (知识 、 推 理 和 生物 特征 等 ) 和 认证 的 可 信 
协议 及 模型 。 

2) 授权 和 访问 控制 (authorization and access control) 

授权 和 访问 控制 是 两 个 关系 密切 的 概念 ,常常 替换 使 用 。 它 们 的 差别 在 于 ,授权 侧 
重 于 强调 用 户 拥有 什么 样 的 访问 权限 ,这 种 权限 是 系统 预先 设 定 的 ,并 不 关心 用 户 是 否 
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发 起 访问 请 求 ; 而 访问 控制 是 对 用 户 访问 行为 进行 控制 , 它 将 用 户 的 访问 行为 控制 在 授 
权 允 许 的 范围 之 内 ,因此 ,也 可 以 说 ,访问 控制 是 在 用 户 发 起 访问 请 求 时 才 起 作用 的 。 打 
个 形象 的 比喻 ,授权 是 签发 通行 证 ,而 访问 控制 则 是 卫兵 ,前 者 规定 用 户 是 否 有 权 出 入 某 
区 域 , 而 后 者 检查 用 户 在 出 入 时 是 否 超 越 了 禁区 。 
授权 和 访问 控制 研究 的 主要 内 容 是 授权 策略 ,访问 控制 模型 .大 规模 系统 的 快速 访 

问 控 制 算法 等 。 

3) 审计 追踪 (auditing and tracing) 

审计 和 追踪 也 是 两 个 关系 密切 的 概念 ,审计 是 指 对 用 户 的 行为 进行 记录 、 分 析 和 审 
查 , 以 确认 操作 的 历史 行为 。 追 踪 则 有 追查 的 意思 ,通过 审计 结果 追查 用 户 的 全 程 行踪 。 
审计 通常 只 在 某 个 系统 内 进行 ,而 追踪 则 需要 对 多 个 系统 的 审计 结果 综合 分 析 。 

审计 追踪 研究 的 主要 内 容 是 记录 方式 ,审计 模型 及 追踪 算法 等 。 

4) 安全 协议 (security protocol) 

安全 协议 是 指 在 构建 安全 平台 时 所 使 用 的 与 安全 防护 有 关 的 协议 ,是 各 种 安全 技术 
和 策略 具体 实现 时 共同 遵循 的 规定 ,如 安全 传输 协议 .安全 认证 协议 和 安全 保密 协议 等 。 
典型 的 安全 协议 有 网 络 层 安全 协议 IPSec 传输 层 安 全 协议 SSL 和 应 用 层 安全 电子 商务 
协议 SET 等 。 

安全 协议 研究 的 主要 内 容 是 协议 的 内 容 和 实现 层次 .协议 自身 的 安全 性 以 及 协议 的 
互 操作 性 等 。 
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1. 几 个 术语 


经 典 加 密 技术 。 经 典 加 密 技术 又 叫 传统 加 密 技术 。 

密码 学 。 密 码 学 研究 的 是 密码 编码 学 和 密码 分 析 学 的 科学 。 

密码 编码 学 。 是 对 信息 进行 编码 实现 信息 保密 性 的 科学 。 

密码 分 析 学 。 是 研究 、 分 析 ,破译 密码 的 科学 。 

单 密 钥 系统 。 单 密 钥 系统 又 称 为 对 称 密码 系统 或 秘密 密 钥 密码 系统 , 单 密 钥 系统 
的 加 密 密 钥 和 解密 密 钥 或 者 相同 ,或 者 实质 上 等 同 . 即 易于 从 一 个 密 钥 推出 另 一 
个 密 钥 。 

双 密 钥 系 统 。 双 密 钥 系统 又 称 为 非 对 称 密码 系统 或 公开 密 钥 密码 系统 。 双 密 钥 
系统 有 两 个 密 钥 ,一 个 是 公开 密 钥 , 是 大 家 都 可 以 使 用 的 密 钥 , 另 一 个 是 私有 密 
钥 , 只 能 是 该 密 钥 拥有 者 才能 使 用 ,而 且 从 公开 密 钥 是 推 不 出 私有 密 钥 的 。 

经 典 密码 体制 。 经 典 密码 体制 是 传统 的 加 密 解 密 体制 ,采用 手工 或 机 械 操 作 实现 
加 /解密 。 经 典 密码 大 体 上 可 分 为 三 类 , 单 表 代 换 密码 、 多 表 代 换 密码 和 多 字母 代 
换 密码 。 


2. 单 表 代 换 密码 
将 字母 a、.b.c.d、…、w、x.y.z 用 de,f.g、…、z、a、b、c 来 代 蔡 (即将 字母 表 中 的 每 个 


他 
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字母 用 其 后 的 第 3 个 字母 进行 替换 ,此 时 密 钥 为 3)。 例 如 ,车 明文 为 student, 则 对 应 的 
密 文 为 vrwxghqw。 这 就 是 著名 的 恺 撤 (Kaesar) 密 码 , 也 称 为 移 位 代 换 密码 。 

恺 撤 密 码 仅 有 26 个 可 能 的 密 钥 ,是 不 安全 的 。 如 果 人 允许 字母 表 中 的 字母 用 任意 字 
母 进行 替换 (“随机 置换 "加密 算 法 ), 即 上 述 密 文 能 够 是 26 个 字母 的 任意 排列 , 则 将 有 
261 或 多 于 4X10” 种 可 能 的 密 钥 。 这 样 的 密 钥 空间 既 使 用 计算 机 进行 穷 举 搜索 密 钥 也 
是 不 现实 的 。 

例 4-1 “随机 ”置换 加 密 与 解密 算法 。 

明文 :a bcdefghijklm nopqrstuvw xyz 

密 文 XNYAHPOGZQWBT SFLRCVMUEK JDI 

解密 是 如 下 的 一 个 逆 置 换 。 

密 文 ABCDEFGHIJKLMNOPQRSTUVWXYZ 

明文 :dl ryvohezxwpt bgfjqnmuskaci 

设 接 收 方 收 到 这 样 一 条 密 文 : 

MGZV YZLGHC MHJM YXSSFM NH AHYCDLMHA 

根据 例 4-1 的 密 钥 约定 ,其 解密 后 的 明文 如 下 : 


this cipher text cannot be decrypted 
3. 多 表 代 换 密码 


多 表 代 换 密码 中 最 著名 的 一 种 密码 称 为 维 吉 尼 亚 (Vigenere) 密 码 。 这 是 一 种 以 移 位 
代 换 为 基础 的 周期 代 换 密码 ,m 个 移 位 代 换 表 由 m 个 字母 组 成 的 密 钥 字 确 定 (这 里 假设 
密 钥 字 中 m 个 字母 不 同 ,如 果 有 相同 的 , 则 代 换 表 的 个 数 是 密 钥 字 中 不 同 字母 的 个 数 ) 。 
如 果 密 钥 字 为 deceptive, 明 文 为 “we are discovered save yourself” 的 加 密 过 程 为 : 

字母 :a b cdefghijkl mnopqrst uvw xyz 

数码 :0 1 23 456 7 89101112 13141516171819 20 2122 23 24 25 

wearediscoveredsaveyourself 
密 钥 :d eceptivedeceptivedeceptive 
3 42415198 214342415198 214 3424 15198 214 

密 文 :Z I CVTWQNGRZGVTWAVZHCQYGLMGJ 
其 中 , 密 钥 字母 a、b、…、y、z 对 应 数码 0、1、…、24、25。 这 里 的 数码 就 是 在 加 密 过 程 中 对 
应 字母 向 右 ( 后 ) 移 位 的 位 数 , 由 此 位 对 应 的 字母 即 为 替换 字母 。 

加 密 过 程 是 , 密 钥 字母 d 对 应 数字 3, 因 而 明文 字母 w 在 密 钥 字母 d 的 作用 下 向 右 
(后 ) 移 3 位 ,得 到 密 文字 母 Z; 明 文字 母 e 在 密 钥 字母 e 的 作用 下 向 右 (后 ) 移 4 位 ,得 到 
密 文 字母 i, 以 此 类 推 。 解 密 时 , 密 文字 母 在 密 钥 字母 的 作用 下 向 左 ( 前 ) 移 位 。 

分 析 : 在 维 吉 尼 亚 密码 中 ,如 果 密 钥 字 的 长 度 是 m, 明 文中 的 一 个 字母 是 能 够 映 成 这 
m 个 字母 中 的 一 个 的 。 容 易 看 出 , 维 吉 尼 亚 密 码 中 长 度 为 m 的 可 能 密 钥 字 的 个 数 是 
26” ,甚至 对 于 一 个 较 小 的 闷 值 ,如 痉 一 5, 密 钥 空间 为 26 ,超过 了 1.1X10 ,这 个 空间 已 
经 足以 阻止 手工 穷 举 密 钥 搜索 。 但 这 么 大 的 密 钥 空间 ,车 用 计算 机 进行 穷 举 搜索 ,是 毫 
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不 费力 的 ,只 要 几 分 钟 时 间 , 所 以 ,车 要 抗击 计算 机 穷 举 分 析 , 则 需 三 8。 

为 方便 记忆 , 维 吉 尼 亚 密 码 的 密 钥 字 常 常 取 自 于 英文 中 的 一 个 单词 一 个 句子 或 一 
段 文章 。 因 此 ,其 明文 和 密 钥 字 母 频率 分 布 仍然 能 够 用 统计 分 析 技 术 进 行 统计 分 析 攻 
击 。 要 抗击 这 样 的 密码 分 析 , 只 有 选择 没有 统计 关系 的 密 钥 内 容 。1918 年 美国 的 G. W. 
Vernam 提出 的 密码 理论 是 ,明文 英文 字母 编 成 5 比特 二 元 数字 , 称 之 为 5 单元 波多 代码 
(baudot code) ,选择 随机 二 元 数字 流 作 为 密 钥 , 加 密 通 过 执行 明文 和 密 钥 的 逐 位 异 或 操 
作 , 产 生 密 文 ,可 以 简单 地 表示 为 C; 二 P;@ K;(i 二 1,2,3,4,5), 这 就 是 Vernam 加 密 
技术 。 

其 中 ,已 表示 明文 的 第 ; 个 二 元 数字 ,K, 表 示 密 钥 的 第 ; 个 二 元 数字 ,C; 表 示 密 文 的 
第 i 个 二 元 数字 ,“@@” 表 示 异 或 操作 。 解 密 仅 需 执行 相同 的 逐 位 异 或 操作 已 =C@K,。 

Vernam 密码 系统 的 密 钥 若 不 重复 使 用 ,就 能 得 到 一 次 一 个 密码 。 若 密 钥 有 重复 , 尽 
管 使 用 长 密 钥 增加 了 密码 分 析 的 难度 ,但 只 要 有 了 足够 的 密 文 ,使 用 已 知 的 或 可 能 的 明 
文 序列 ,或 二 者 相 结合 就 能 够 破译 。 

例 4-2 Vernam 密码 系统 的 应 用 。 

设 明文 为 : it is a dog 

明文 对 应 的 数码 为 :8 19 8 180 3146 

设 密 钥 为 : deceptive 

密 钥 对 应 的 数码 为 : 3 4 2 4 15 19 8 21 4 

则 密 文 为 : lxkwpqgt 

其 加 密 过 程 如 下 : 

第 1 步 , 按 维 吉 尼 亚 方法 将 字母 按 顺 序列 表 如 表 4-1 所 示 。 

表 4-1 Baudot 代码 表 


字 母 | 数码 | 波多 代码 | 字 母 | 数码 | 波多 代码 | 字 母 | 数 码 | 波多 代码 
a 0 00000 j 和 01001 邮 18 10010 
b 1 00001 k 10 01010 t 19 10011 
e 2 00010 1 11 01011 u 20 10100 
d 3 00011 m 12 01100 v 21 10101 
e 4 00100 n 13 01101 w 22 10110 
f 5 00101 o 14 01110 x 23 10111 
g 6 00110 Pp 15 01111 y 24 11000 
h 7 00111 q 16 10000 z 25 11001 
i 8 01000 17 10001 


第 2 步 , 按 Vernam 加 密 方法 ,将 明文 “it is a dog” 进 行 加 密 , 其 加 密 过 程 如 表 4-2 所 
示 。 在 表 4-2 中 , 密 文 对 应 的 数码 一 明 文 对 应 的 数码 四 密 钥 对 应 的 数码 。 


表 4-2 Vernam 加 密 过 程 
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序 号 | 明 文 | 明文 对 应 的 数码 | 密 钥 | 密 钥 对 应 的 数码 | 密 文 对 应 的 数码 | 密 文 
1 i 01000 d 00011 01011 1 
2 10011 e 00100 10111 x 
3 i 01000 直 00010 01010 k 
4 s 10010 e 00100 10110 w 
5 a 00000 p 01111 01111 p 
6 d 00011 t 10011 10000 q 
L o 01110 i 01000 00110 g 
8 g 00110 v 10101 10011 2 


在 表 4-2 中 的 * 密 文 "字母 用 “ 密 文 对 应 的 数码 " 查 表 4-1 所 得 。 
4. 多 字母 代 换 密码 


前 面 介绍 的 密码 都 是 以 单个 字母 作为 代 换 的 对 象 ,对 多 于 一 个 字母 进行 代 换 ,就 是 
多 字母 代 换 密码 。 它 的 优点 是 容易 将 字母 出 现 的 频 度 隐蔽 ,从 而 抗击 统计 分 析 。 这 里 介 
绍 Hill 密码 , 它 是 数学 家 Lester Hill 于 1929 年 研制 的 。 虽然 这 类 密码 由 于 加 密 操作 复 
杂 而 未 能 广泛 应 用 ,但 仍 在 很 大 程度 上 推进 了 经 典 密码 学 的 研究 。 

Hill 密码 将 明文 分 成 每 m 个 字母 为 一 组 的 明文 组 ,车 最 后 一 组 不 够 m 个 字母 就 用 
字母 补足 ,每 组 用 m 个 密 文 字母 代 换 , 这 种 代 换 由 m 个 线性 方程 决定 ,其 中 字母 a、b、…、 
y.z 分 别 用 数字 0、1、…、24、25 表示 。 若 mn 二 3, 该 系统 可 以 描述 如 下 : 


Ci = (kuPi thksPz + kisPs)mod 26 
C: = (ka Pi + kz Ps + kzs Ps)mod 26 
Cs = (pa Pi + ks Ps 十 asPi)mod 26 
可 用 列 向 量 和 矩阵 表示 为 : 
OC kn ke ks\fP 
eel 
Cs ka ks as 八 P; 
或 
C = KP 


其 中 ,C 和 P 分 别 是 密 文 和 明文 向 量 , 天 是 密 钥 矩 阵 ,注意 操作 过 程 要 执行 模 26 运算 。 
例 4-3 用 密 钥 
11 3 
K= 
Ls 0 


来 加 密 明文 july。 将 明文 分 成 两 个 组 ju 和 1y, 分 别 为 (9.20) 和 (11,24) ,计算 如 下 : 


31f 9) (99+60 mod 26 -( 
8 7 八 20) \72+140 mod26) \4 
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11 3)(11) 1121+72 mod26、 /11 
人 8 了 ja- [ae mod 2 (a) 
因此 ,july 的 加 密 结 果 为 delw。 
为 了 解密 ,必须 先 计 算 密 钥 矩阵 的 逆 矩 阵 。 


和 
-= (i | 
然后 计算 P= K IC 
7 23)/3] /21+92 mod26] /9 
. (= [em mod 26]- (a) 
7 23)/11) [77+506 mod26 ) (11 
Lb nj(2]- oe mod 26]- (| 
最 后 ,得 到 正确 的 明文 july。 


从 以 上 分 析 知 道 , 单 表 代 换 密码 和 多 表 代 换 密码 都 是 每 次 加 密 一 个 字母 ,而 多 字母 
代 换 密码 每 次 可 加 密 多 个 字母 。 
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现代 密码 理论 起 源 于 20 世纪 70 年 代 , 但 其 理论 基础 可 以 追溯 到 1949 年 Shanon 的 
论文 "保密 通信 的 理论 基础 ”>。 现 代 密 码 理论 充分 结合 了 数学 理论 基础 和 计算 机 计算 能 
力 ,提出 了 密码 算法 的 框架 结构 。 其 标志 性 的 成 果 首 推 DES 算法 和 RSA 算法 。 

数据 加 密 标准 DES(Data Encryption Standard) 是 1977 年 美国 国家 标准 局 正式 公布 
实施 的 。 该 算法 在 此 后 几 年 中 一 直 作为 国际 最 通用 的 分 组 加 密 算法 在 使 用 。 虽 然后 来 
出 现 了 其 改进 算法 3DES, 但 除了 增加 了 DES 加 解密 的 运算 次 数 和 顺序 外 ,没有 本 质 的 
突破 。DES 算法 将 数据 按 64 位 分 组 进行 加 密 , 其 密 钥 长 度 也 是 64 位 ,其 中 每 8 位 中 有 
一 位 校 验 位 ,因此 DES 的 有 效 密 钥 长 度 为 56 位 。DES 不 仅仅 是 一 个 加 密 算法 , 它 还 代 
表 了 现代 对 称 密码 算法 的 一 般 性 结构 ,后 来 很 多 算法 都 是 在 DES 结构 上 发 展 起 来 的 。 

现代 密码 的 另 一 个 标志 就 是 公 钥 密码 体制 的 提出 。Diffie 和 Hellman 在 《密码 学 的 
新 方向 ) 中 首次 提出 了 非 对 称 密码 算法 的 思想 。 两 年 后 Rivest、Shamir 和 Adleman 提出 
的 RSA 算法 体现 了 公 钥 算法 的 思想 。RSA 算法 至 今 仍然 是 公 钥 密码 算法 的 典型 代表 。 

目前 ,密码 学 的 研究 依然 炙手可热 ,美国 花 巨 资历 时 3 年 挑选 了 代替 DES 算法 的 
AES 算 法 ,欧洲 也 正在 制定 新 的 欧洲 密码 体制 。 在 公 钥 体制 方面 ,椭圆 曲线 算法 ECC 是 
目前 研究 的 热点 。 

对 称 密码 体制 根据 对 明文 加 密 方式 的 不 同 而 分 为 分 组 密码 和 流 密码 。 前 者 按 一 定 
长 度 ( 如 64 字 节 、128 字 节 等 ) 对 明文 进行 分 组 ,然后 以 组 为 单位 进行 加 /解密 ;后 者 则 不 
进行 分 组 ,而 是 按 位 进行 加 /解密 。 


1. 分 组 密码 原理 
分 组 密码 系统 对 不 同 的 组 采用 同样 的 密 钥 来 进行 加 /解密 。 设 密 文 组 为 
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yy 二 yy2…* ym， 则 对 明文 组 二 zz,… 工 ,用 密 钥 有 加 密 可 得 到 y 二 ei (zx) er (zx2) "er (XT,)， 
如 图 4-1 所 示 。 

流 密码 的 基本 思想 是 利用 密 钥 产生 一 个 密 钥 流 < 二 xoxi…, 并 使 用 如 下 规则 加 密 
明文 串 z=zoziz…vy 一 yyy… 一 eao(zo)ea(Czi)es(z)…。 密 钥 流 由 密 钥 流 发 生 器 
产生 zi 二 fk,0i) ,这 里 的 0 是 加 密 器 中 的 记忆 元 件 ( 存 储 器 ) 在 时 刻 i 的 状态 ,f 是 由 密 钥 
& 和 vi 产生 的 函数 ,如 图 4-2 所 示 。 


2. 分 组 密码 设计 原理 


分 组 密码 是 将 明文 消息 编码 表示 后 的 数字 (简称 明文 数字 ) 序 列 rozrizz… ,划分 成 长 
度 为 n 的 组 + 二 (xox1zs… x,-1)( 可 看 成 长 度 为 n 的 矢量 ), 每 组 分 别 在 密 钥 二 ( kok 
ko… kk,-1) 的 控制 下 变换 成 等 长 的 输出 数字 (简称 密 文 数字 ) 序 列 y 一 ( yoyiye… yw-1)， 
其 加 密 函 数 是 玉 : V, XK->V,,V。 是 维 矢量 空 间 ,K 为 密 钥 空间 ,如 图 4-1 所 示 。 在 相 
同 的 密 钥 的 控制 下 ,加 密 函 数 可 以 看 成 是 函数 E(o.k) : V,V,。 这 实质 上 是 对 字 长 为 
nn 的 数字 序列 进行 置换 。 在 二 元 的 情况 下 ,x 和 y 都 是 二 元 序列 ,共有 2" 个 不 同 的 明文 分 
组 。 为 了 使 加 密 运 算 可 逆 , 从 而 解密 运算 可 行 ,每 个 明文 分 组 应 对 应 唯一 的 一 个 密 文 分 
组 , 即 置换 下 (o,&) 是 可 逆 的 。 众 所 周知 ,V, 上 这 样 的 置换 共有 2"! 个 ,因而 密 钥 个 数 最 
多 为 2"! 个 。 实 际 应 用 中 的 许多 分 组 密码 ,如 DES IDEA 等 ,所 用 的 置换 只 不 过 是 上 述 
置换 集中 一 个 很 小 的 子 集 。 


密 钥 上 (tm ,1) 密 钥 k=(h… ,1) 


明文 [i 密 算 法 | 宇文) -| 解密 算法 | 明文 


人 ro (人 


图 4-1 分 组 密码 模型 


分 组 密码 设计 就 是 要 找到 一 种 算法 ,能 在 密 钥 的 控制 下 ,从 一 个 足够 大 .足够 好 的 置 
换 子 集中 简单 迅速 地 选 出 一 个 置换 ,对 当前 输入 的 明文 数字 组 进行 加 密 变 换 。 因 此 , 设 
计 的 算法 应 满足 下 述 安全 性 和 软 / 硬 件 实现 的 要 求 。 

。 分 组 长 度 应 足够 大 ,使 得 不 同 明文 分 组 的 个 数 2 足够 大 ,以 防止 明文 被 穷 举 法 攻 
击 。 例 如 , 若 "一 64. 则 在 进行 攻击 时 用 2”* 个 分 组 密 文成 功 的 概率 为 1/2, 同 时 需 
要 2”X64b 二 2*MB 的 存储 空间 .因而 采取 穷 举 法 攻击 是 不 可 行 的 。 新 的 算法 标 
准 一 般 要 求 ”一 128。 
密 钥 空间 应 足够 大 , 尽 可 能 消除 弱 密 钥 , 从 而 使 所 有 密 钥 同 等 概率 ,以 防 穷 举 密 钥 
攻击 。 同 时 , 密 钥 不 能 太 长 ,以 利于 密 钥 管理 。DES 采用 56 位 有 效 密 钥 ,现在 看 
来 显然 不 够 长 ,256 位 密 钥 应 该 是 足够 安全 的 。 
由 密 钥 确定 的 算法 要 足够 复杂 ,充分 实现 明文 与 密 钥 的 扩散 和 混淆 ,没有 简单 关 
系 可 循 , 要 能 抵抗 各 种 已 知 的 攻击 ,如 差分 攻击 和 线性 攻击 等 ;另外 ,还 要 求 有 较 
高 的 非 线性 阶 数 。 
软件 实现 的 要 求 。 尽 量 使 用 适合 编程 的 子 块 和 简单 的 运算 。 密 码 运算 在 子 块 上 
进行 ,因此 要 求 子 块 的 长 度 能 适应 软件 编程 ,如 8、16、32 位 等 。 应 尽量 避免 按 位 
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置换 ,在 子 块 上 进行 的 密码 运算 应 尽量 采用 易于 软件 实现 的 运算 。 最 好 是 使 用 处 
理 器 的 基本 运算 ,如 逻辑 非 . 与 ,或 . 移 位 运算 等 。 

。 硬 件 实现 的 要 求 。 加 密 和 解密 应 具有 相似 性 , 即 加 密 和 解密 过 程 的 不 同 应 仅仅 在 
于 密 钥 的 使 用 方式 上 ,以便 采 用 同样 的 器 件 来 实现 加 密 和 解密 ,以 节省 费用 和 时 
间 。 尽 量 采用 标准 的 组 件 结构 ,以 便 能 在 超大 规模 集成 电路 中 实现 。 

需要 指出 的 是 ,混淆 和 扩散 是 Shannon 提出 的 设计 密码 系统 的 两 种 基本 方法 。 
Shannon 认为 ,在 理想 密码 系统 中 , 密 文 的 所 有 统计 特性 都 应 与 所 使 用 的 密 钥 独 立 , 然 而 
实用 的 密码 系统 都 很 难 达到 这 个 目标 。 在 扩散 中 ,要 求 明文 的 统计 结构 扩散 消失 到 密 文 
的 统计 特性 中 。 要 做 到 这 一 点 ,必须 让 明文 的 每 个 位 影响 到 密 文 许多 位 的 取 值 , 即 每 个 
密 文 位 被 许多 明文 位 影响 。 所 有 的 分 组 密码 都 包含 明文 分 组 到 密 文 分 组 的 代 换 , 而 具体 
代 换 依赖 于 密 钥 。 混 淆 则 是 试图 使 得 密 文 的 统计 特性 与 密 钥 的 取 值 之 间 的 关系 尽量 复 
杂 。 扩 散 和 混淆 的 目的 都 是 为 了 挫败 推测 出 密 钥 的 尝试 .从 而 抗击 统计 分 析 。 

和 迭代 密码 是 实现 混淆 和 扩散 原则 的 一 种 有 效 方法 。 合 理 选 择 的 轮 函 数 经 过 若干 次 
迭代 后 能 够 提供 必要 的 混淆 和 扩散 。 分 组 密码 由 加 密 算 法 、 解 密 算 法 和 密 钥 扩 展 算法 三 
部 分 组 成 。 解 密 算法 是 加 密 算法 的 逆 过 程 , 巾 加 密 算 法 唯一 确定 ,因而 主要 讨论 加 密 算 
法 和 密 钥 扩展 算法 。 


3. 流 密码 简介 


前 面 已 经 介绍 了 流 密码 的 基本 思想 ,利用 密 钥 人 生成 一 个 密 钥 流 > 二 ,zi,…, 密 钥 
流 巾 密 钥 流 生成 器 了 产生 <; 一 AR,a) ,这 里 的 mm 是 加 密 器 中 的 记忆 元 件 (存储 器 ) 在 时 刻 
i 的 状态 , 是 由 密 钥 上 秋生 成 的 函数 ,而 xi(i0) 可 能 依赖 于 人 ,om ,zo ,x1，… ,zi-1 等 参 
数 。 

根据 加 密 器 中 记忆 元 件 的 存储 状态 “是 否 依赖 于 输入 的 明文 字符 , 流 密 码 可 进一步 
分 成 同步 和 自 同步 两 种 。o; 独 立 于 明文 字符 的 叫做 同步 流 密码 ,否则 叫做 自 同步 流 密 码 。 
由 于 自 同步 流 密码 密 钥 流 的 生成 与 明文 有 关 , 因 而 较 难 从 理论 上 进行 分 析 。 目 前 大 多 数 
研究 成 果 都 是 关于 同步 流 密码 的 。 在 这 里 ,只 介绍 同步 流 密码 。 

1) 同步 流 密码 

在 同步 流 密码 中 ,由 于 x; 二 f(k,o;) 与 明文 字符 无 关 , 因 而 密 文字 符 y; 二 es (zi) 也 不 
依赖 于 此 前 的 明文 字符 。 因 此 ,可 将 同步 流 密码 的 加 密 器 分 成 密 钥 流 生成 器 和 加 密 变 换 
器 两 个 部 分 。 如 果 与 上 述 加 密 变换 对 应 的 解密 变换 为 x, 一 d.; (zx;), 则 可 给 出 同步 流 密码 
的 模型 。 

一 次 一 密码 是 加 密 流 密码 的 原型 。 事 实 上 ,如果 =; 二 &;( 即 密 钥 用 做 深 动 密 钥 流 ) , 则 
加 法 流 密码 就 退化 成 一 次 一 密码 。 实 际 使 用 中 ,密码 设计 者 的 最 大 愿望 是 设计 出 一 个 滚 
动 密 钥 生成 器 ,使 得 密 钥 经 其 扩展 成 的 密 钥 流 序列 > 具有 如 下 一 些 性 质 。 

。 极 大 的 周期 。 

。 良好 的 统计 特性 。 

。 抗 线性 分 析 。 

。 抗 统计 分 析 。 
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2) 密 钥 流 生成 器 
同步 流 密码 的 关键 技术 是 密 钥 流 生成 器 。 一 般 可 将 其 看 成 是 一 个 参数 为 k 的 有 限 
状态 自动 机 ,由 一 个 输出 符号 集 <, 一 个 状态 集 、 两 个 函数 g 和 亚 


及 一 个 初 从 状态 上 所 组 成 ,如 图 4-2 所 示 。 状 态 转移 丙 数 9 o> (4 
ai ,将 当前 状态 n 变 为 一 个 新 状态 mr : 输出 函数 中; -= 将 当 
前 状态 w 变 为 输出 符号 集中 的 一 个 元 素 = 。 这 种 密 钥 流 生成 器 设 “| 9 上 (六 三 
计 的 关键 在 于 找 出 适当 的 状态 转移 函数 p 和 输出 丽 数 二 ,使 得 输 和 下 
出 序列 = 满足 极 大 的 周期 ,良好 的 统计 特性 、 抗 线性 分 析 和 抗 统计 
分 析 等 要 求 , 并 且 要 求 在 计算 设备 上 是 节省 的 和 容易 实现 的 。 为 
了 实现 这 一 目标 ,必须 采用 非 线性 函数 。 

密 钥 流 事实 上 是 一 个 无 限 长 序列 。 由 于 一 个 有 限 状态 机 在 确定 的 逻辑 连接 下 ,迟早 
要 进入 周期 状态 。 因 而 实际 得 到 的 密 钥 流 本 质 上 是 一 个 周期 序列 。 用 S 表示 序列 wo vs ， 
…, 如 果 存在 正 整 数 p, 使 得 5 十 p 二 sw 一 0,1,2,…, 则 称 序列 为 周期 序列 ,满足 上 式 的 
最 小 正 整数 p 称 为 序列 的 周期 。 在 实际 应 用 中 ,p 值 越 大 越 好 。 


415 DES 算 法 


数据 加 密 标准 DES(Data Encryption Standard) 是 迄今 为 止 使 用 最 为 广泛 的 经 典 加 
密 算法 。1973 年 5 月 13 日 美国 国家 标准 局 NBS(National Bureau of Standards) 公 布 了 
一 项 公告 ,征求 国家 密码 标准 方案 。IBM 提交 了 他 们 研制 的 一 种 密码 算法 ,该 算法 是 由 
早期 的 LUCIFER 密码 改进 而 得 的 。 在 经 过 大 量 的 公开 讨论 之 后 该 密码 算法 于 1977 年 
1 月 15 日 被 正式 批准 为 美国 联邦 信息 处 理 标准 , 即 FIPS-46, 同 年 7 月 15 日 生效 。 并 规 
定 每 隔 5 年 由 美国 国家 保密 局 (National Security Agency) 重 新 评估 它 是 否 继续 作为 联邦 
加 密 标准 。 最 近 的 一 次 评估 是 在 1994 年 1 月 ,当时 决定 在 1998 年 12 月 以 后 ,DES 不 再 作 
为 联邦 加 密 标准 。 新 的 美国 联邦 加 密 标准 称 为 高 级 加 密 标准 AES(Advanced Encryption 
Standard)。 尽 管 如 此 ,DES 对 推进 密码 理论 的 发 展 和 应 用 仍 起 了 重要 作用 ,并 对 学 习 和 
研究 分 组 密码 的 基本 理论 .设计 思想 和 实际 应 用 有 着 珍贵 的 参 


图 4-2 流 密码 生成 器 


输入 64 位 明文 数据 
考 价值 。DES 是 分 组 长 度 为 64 位 的 分 组 密码 算法 , 密 钥 长 度 
的 省 也 是 64 位 ,其 中 每 8 位 有 一 位 奇偶 校 验 位 ,因此 有 效 密 钥 长 度 
在 本 机 扫 抽 下 为 56 位。 DES 算法 是 公开 的 ,其 安全 性 依赖 于 密 钥 的 保密 程 
16 轮 选 代 度 。DES 结构 框图 如 图 4-3 所 示 。 
1 
变换 左 、 右 32 位 1. 初始 置换 IP 和 初始 逆 置换 IP 一 
初始 逆转 换 JP 将 64 位 明文 数据 用 初始 置换 P 置换 ,得 到 一 个 乱 序 的 64 
位 明文 分 组 ,然后 分 成 左 、 右 等 长 的 32 位 ,分 别 记 为 L。 和 R。。 
输出 64 位 密 文 数据 


进行 16 轮 完全 类 似 的 迭代 运算 后 ,将 所 得 左 、 右 长 度 相等 的 两 
图 4-3 DES 算法 结构 图 半 Lis 和 Ris 交 换 得 到 64 位 数据 RisLis, 最 后 再 用 初始 着 置换 
IP 一 进行 置换 ,产生 密 文 数据 组 。 置 换 表 自 左 向 右 、 自 上 而 下 的 

64 个 位 置 对 应 64 位 数据 组 ,置换 表 中 的 数字 表示 将 64 位 数据 组 中 该 数字 所 在 位 置 的 位 
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置换 为 该 数字 表示 的 位 置 的 位 。 初 始 置 换 IP 和 初始 逆 置 换 IP 一 如 表 4-3 所 示 。 
表 4-3 初始 转换 与 初始 逆 置 换 


初始 置换 IP 初始 逆 置 换 了 P 一 
58 50 42 34 26 18 10 2 40 8 48 16 56 24 64 32 
60 52 44 36 28 20 12 4 39 7 47 15 55 23 63 31 
62 54 46 38 30 22 14 6 38 6 46 14 54 22 62 30 
64 56 48 40 32 24 16 8 37 5 45 13 53 21 61 29 
57 49 41 33 25 17 9 1 36 4 44 12 52 20 60 28 
59 51 43 35 27 19 11 3 35 3 43 11 51 19 59 27 
61 53 45 37 29 21 13 5 34 2 42 10 50 18 58 26 
63 55 47 39 31 23 15 7 33 41 9 4 17 57 25 


初始 置换 IP 的 含义 是 : 

58 是 指 将 原 第 58 位 数码 换 位 到 当前 位 置 , 即 第 1 位 。 
50 是 指 将 原 第 50 位 数码 换 位 到 当前 位 置 , 即 第 2 位 。 
42 是 指 将 原 第 42 位 数码 换 位 到 当前 位 置 , 即 第 3 位 。 


7 是 指 将 原 第 7 位 数码 换 位 到 当前 位 置 , 即 第 64 位 。 
2. 迭代 变换 
迭代 变换 是 DES 算法 的 核心 部 分 ,如 图 4-4 和 图 4-5 所 示 。 每 一 轮 开始 时 将 输入 的 


4 位 密 文 


图 4-4 DES 算法 流程 
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Ln(32 位 ) Ri(32 位 ) 


| [选择 扩展 运算 E 
| 


48 位 寄存 器 


于 密 钢 KK 
(48 位 ) 


= 
| | 选择 压缩 运算 $ 


32 位 寄存 器 


1 
1 
1 
了 
1 
1 
1 
1 
1 
| 
1 

48 位 寄存 器 i 
1 
1 
1 
1 
1 
站 
1 
1 
1 
1 


已 32 位 ) Ri(32 位 ) 


图 4-5 DES 和 迭代 过 程 
64 位 数码 分 成 左右 相等 的 两 半 , 右 半 部 分 原封 不 动 地 作为 本 一 轮 输出 的 64 位 数据 的 左 
半 部 分 ,同时 对 右 半 部 分 进行 一 系列 的 变换 , 即 用 轮 函数 下 作用 于 右 半 部 分 ,然后 将 得 结 
果 (32 位 数据 ) 与 输入 数据 的 左 半 部 分 进行 逐 位 异 或 ,最 后 将 所 得 结果 作为 本 轮 输出 的 
64 位 数据 的 右 半 部 分 。 
从 图 4-5 可 以 看 出 , 轮 函 数 下 由 选择 扩展 运算 下 .与 子 密 钥 的 异 或 运算 .选择 压缩 运 
算 S 和 转换 运算 P 组 成 。 
3. 选择 扩展 运算 E 
将 输入 的 32 位 数据 扩展 为 48 位 的 输出 数据 ,其 实施 的 变换 运算 如 表 4-4 所 示 。 
表 4-4 选择 扩展 运算 


E 
32 1 2 3 4 5 
4 5 6 ? 8 9 
8 Ed 10 11 12 13 
12 13 14 15 16 17 
16 17 18 19 20 21 
20 21 22 23 24 25 
24 25 26 27 28 29 
28 29 30 31 32 1 
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表 中 的 第 1、2 两 列 实际 上 是 第 5.6 两 列 的 变换 。 
如 果 将 输入 的 32 位 数据 按 表 EE 中 所 标 位 置 顺 序 读 出 , 则 可 得 到 48 位 的 输出 数据 。 


4. 与 子 密 钥 的 异 或 运算 
将 选择 扩展 运算 的 48 位 输出 数据 与 子 密 钥 Ki(48 位 ) 进 行 异 或 运算 。 
5. 选择 压缩 运算 (S 盒 置换 ) 


将 输入 的 48 位 数据 从 左 到 右 分 成 8 组 ,每 一 组 6 位 。 然 后 输入 到 8 个 S 盒 中 ,每 个 
S 盒 均 为 非 线性 代 换 ,输出 为 4 位 ,如 图 4-6 


4 位 寄存 器 
所 示 。 6 位 

对 于 每 一 个 S;,6 位 输入 中 的 第 1 和 第 6 选择 函数 组 
位 组 成 的 二 进 制 数 用 来 确定 S 盒 ( 如 表 4-5 4 位 


所 示 ) 中 的 行 ,中 间 4 位 (第 2 一 5 位 ) 用 来 确 
定 S 盒 中 的 列 。 将 S; 中 相应 的 行 . 列 位 置 的 图 4-6 选择 压缩 运算 
十 进 制 数 转换 成 4 位 二 进 制 数 表示 作为 输出 

( 即 输入 6 位 输出 4 位 )。 


表 4-5 S 盒 运算 表 

行 / 列 | 0|1|2|13|14|5|156|7|8|9?|1l1|11211311411 

0 wl 4 | 2|25|22|8|3|10|6|22|5|93|0|? 

1 0|15|7|4|1| 2|13|1|1o|6ll2|1|95|5|3| 8 

3 2 4| 1|14|8|l13|6l|2l1l15|12|19|7|3ll|l5|l 
3 过 :| 下 :| 大 | 六 | 六 才 让 这 

0 15| 1| 8|lu| eln|ls3|l4|ls|7|2|l13|12|0|s|10 

1 3|13|4|7|1|2|8s8|1|12| ol1lil6lslnals 

2 oliMm| 7|Inli0|l 4l13|1| 5s| sli12|6|9|3|2|15 
3 13| 8|llolj1|s3ll|l|4|2|1|6|7|1|ol5l1a|。9 

0 w|ilo|l9slulelsls| slili1s|l12|7|ln|l4|l2|s 

1 13| 7| ol|9|s3|4| slil2|s|5|1|12|111| 1 

各 2 13|6|a4|ls|lsls|3loln|1|l|2|12| slw|liu|lr? 
3 1|10|13|0|6|9|8|7| 4l1s|I1M4| 3|1|5| :|12 

0 7|13|14|3| ols|l|s|llil1|2|s8|5|1|1122|4|1 

1 13|8|1|5|6l15| ol|3|4|7|2|12| 1|10l24|9 

时 网 10|6|9| ollizlalyllala5l llslll5|2|s8|14 
a | 

0 2|12|4|1|?7lililslsl|5s|allllialolal。 

1 ll1|2|12|4|7|13|1|5|olllilsal|9| 8| 

5; - 4| 2| 1ln|li|l13|7| sl1s|9s|l12|s|6|l|s|lolu 
3 | ||| 
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续 表 

/| 如 | :| 小 

0 | | | el 

1 10|15 | 4|2|17|12|19|5l6|1li3 lM4| oll1i|3|s 

Se 2 glu |1i5| sl|218|l12|3|7|ol4l1w | 1l13 1 | 6 
3 4|3| 2|112|19|5|1s5 |10 1 lu|1|7|6lo|s|1 

0 4I11| 2|114|1s |o0o|s|l1i3|3|12|9|7| slio|l6e|1 

1 13|o|1|7|4|9|1lillt| sl5|12|12l15 |8|s 

及 罚 医 汉 攻 ; 遇 民 二 汪 下 副 医 轴 里 汪 疏 二 本 司 医 -二 区 下 医 忆 攻 汪 医 辐 医 : 
3 ?1 

0 13|2|8| «le ls ull | 9|ls|Iu| slo |12|? 

1 1|15 113|8llil3|l714|112|15|6|11|ollH4|19|12 

5 2 1la|l|4|1|ls9lz2|4|2|o|slio|la115|s3|15|8 
3 2|1|1| 7|4lilsglal5llizl9ljol3l5|16110 


例 4-4 S: 的 输入 为 101001, 则 行 数 和 列 数 的 二 进 制 表示 分 别 是 11( 第 1 位 和 第 6 
位 ) 和 0100( 中 间 4 位 ) , 即 第 3 行 和 第 4 列 , 查 S 盒 可 知 ,S, 的 第 3 行 第 4 列 的 十 进 制 数 
为 3, 用 4 位 二 进 制 数 表示 为 0011, 所 以 S, 的 输出 为 0011 。 


例 4-5 设 S; 的 输入 为 110101, 则 有 : 
bibs 一 (11)。 一 3 
即 S; 输出 为 1110。 
6. 置换 P 
置换 P 如 表 4-6 所 示 。 


babsbibs = (1010)。 = 10 
S,(3,10) = (14)1, = (1110); 


表 4-6 PP 置换 表 
Pp 
16 7 20 21 
29 12 28 17 
1 15 23 26 
5 18 31 10 
% 8 24 14 
32 27 3 9 
19 13 30 6 
22 11 4 25 
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最 后 需要 描述 的 是 用 密 钥 K 来 产生 16 个 48 位 的 子 密 钥 K;, 1<i<16。 
7. 子 密 钥 的 产生 


给 定 64 位 的 密 钥 KK, 用 置换 选择 1(PC 一 1) 进 行 置换 ,去 掉 了 输入 的 第 8、16、24、32、 
40、48、56、64 位 ( 因 这 8 位 通常 是 奇偶 校 验 位 ) ,并 重 排 实际 56 位 的 密 钥 。 将 得 到 的 56 
位 数据 分 成 左 、 右 等 长 的 28 位 ,分 别 记 为 C。 和 D。。 对 1<i<16, 计 算 C; 二 LSi(Ci-1) 和 
D,=LSi(D-,)。 将 每 轮 56 位 数据 CiD; 用 置换 选择 2(PC 一 2) 作 用 ,去 掉 第 9、18、22、 
25、35、38、43、54 位 ,同时 重 排 剩 下 的 48 位 ,输出 作为 K;, 产 生子 密 钥 的 密 钥 编排 算法 如 
图 4-7 所 示 。 这 里 LS; 表示 循环 左 移 1 位 ( 当 ;i 一 1,2,9,16 时 ) 或 2 位 (其 他 情况 ), 如 
表 4-7 所 示 。 和 置换 选择 1(PC 一 1) 和 置换 选择 2(PC 一 2) 如 表 4-8 所 示 。 


64 位 密 钥 
密 钥 选择 算法 1(PC 一 1) 
La 加 
1 1 
[Ls 5 
1 1 
KK | 密 钥 选择 算法 2PC-2)|- |  C D, 
i 1 
LS LS 
机 
LSr6 LS 
Kis |- | 密 钥 选择 算法 2PC-2)|- -| Cie Dis 
图 4-7 子 密 钥 编 排 算 法 流程 
表 4-7 循环 移 位 表 
轮 数 LS， LSs;: Ls, LS, LSs Ls, LS LS 
位 数 1 1 2 2 2 和 2 Es 
轮 数 Ls, LSw LSn LS 工 Su 工 Su LS LS 
位 数 1 2 2 2 2 2 2 h 


进行 16 轮 完全 相同 的 迭代 运算 后 ,将 所 得 左 、 右 长 度 相等 的 两 半 Lis 和 Ris 交 换 ,得 
出 64 位 数据 Ris 和 Ls ,用 初始 逆转 换 IP-: 进 行 转换 ,产生 密 文 数 据 组 ,转换 表 自 左 至 右 、 
自 上 而 下 的 64 个 位 置 对 应 64 位 数据 组 ,置换 表 中 的 数字 表示 将 64 位 数据 组 中 该 数字 所 
在 位 置 的 位 置换 为 该 数字 表示 的 位 置 的 位 。 

8. 解密 

由 于 DES 算法 是 在 Feistel 网 络 结构 的 输入 和 输出 阶段 分 别 添 加 初始 置换 IP 和 初 
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始 逆 置 换 IP“ 而 构成 的 ,所 以 它 的 解密 使 用 与 加 密 同样 的 算法 ,只 是 子 密 钥 的 使 用 次 序 
相反 。 


表 4-8 PC 一 1 置换 与 PC 一 2 置换 


TC=1 了 PC 一 2 
57 49 41 33 25 17 a 14 17 11 24 1 5 
1 58 50 42 34 26 18 3 28 15 6 21 10 
10 2 59 51 43 35 27 23 19 12 4 26 8 
19 11 3 60 52 44 36 16 7 27 20 13 2 


416 消息 摘要 


1. 消息 摘要 


消息 摘要 又 称 报 文摘 要 ,其 基本 思想 如 下 : 

通常 来 说 , 报 文 的 加 密 可 通过 DES 加 密 技术 、AES 加 密 技术 来 实现 ,而 报 文 的 鉴别 
则 可 通过 数字 凭证 技术 进行 加 密 和 认证 。 

但 在 特定 的 网 络 环境 中 ,许多 报 文 并 不 需要 加 密 ,但 是 要 求 发 送 的 报 文 应 该 是 完整 
的 和 不 可 伪造 的 。 例 如 ,通过 网 络 通知 网 络 上 所 有 用 户 有 关上 网 的 注意 事项 。 对 于 不 需 
要 加 密 的 报 文 进行 加 密 和 解密 ,将 给 计算 机 增加 很 多 不 必要 的 开销 ,因此 ,可 使 用 报 文摘 
要 MD 算法 来 进行 报 文 鉴别 算法 来 达到 目的 。 

报 文摘 要 算法 过 程 如 下 : 

。 发 送 方 将 待 发 送 的 可 变 长 的 报 文 m 经 过 MD 算法 计算 得 出 固定 长 度 ( 如 128 位 ) 
的 报 文摘 要 HCm) 。 

。 对 Hom) 加 密生 成 密 文 BCHCm)) 附 加 在 报 文 m 之 后 传送 给 接收 方 ,如 图 4-8(a) 
所 示 。 

。 在 接收 端 收 到 报 文 m 和 报 文摘 要 E.(H(m) ) 密 文 之 后 ,将 报 文摘 要 密 文 E,(H(m)) 
解密 还 原 成 HCm) 。 

。 同时 在 接收 端 将 收 到 的 报 文 m 经 过 MD 算法 运算 得 出 的 报 文摘 要 H(m') 与 
H(m) 比较 是 否 相 同 , 车 不 相同 则 可 断定 收 到 的 报 文 在 传输 过 程 中 已 被 算 改 。 其 
解密 过 程 如 图 4-8Cb) 所 示 。 

报 文摘 要 的 优点 是 对 于 一 个 有 限 长 度 报 文摘 要 H(m) 进 行 加 密 比 对 整个 报 文 m 进 

行 加 密 效 率 要 高 得 多 ,但 对 鉴别 报 文 m 来 说 ,其 效果 是 一 样 的 。 也 就 是 说 m 和 E.(H(m)) 


于 Dis ats trait 


报 文 搞 要 。 报 文 m+ 摘要 密 广 
MD RE mo Et) 
i 


| 
报 文摘 要 算法 ”用 密 钥 K 加 密 
生成 摘要 报 文摘 要 


报 文 m 


(a) 消息 摘要 的 加 密 过 程 


E(H(m) 写 H(m) 


罕 进行 解密 “| 判断 Htm) H(m') 
密 钥 K 
用 密 钥 K 进行 解密 是 否 相等 


Hm’) t 


报 文 m 


| MD 算法 


{ 
文摘 要 算法 
生成 摘要 


(b) 消息 摘要 的 解密 过 程 
图 4-8 消息 摘要 的 加 密 和 解密 过 程 


在 一 起 是 不 可 算 改 和 不 可 伪造 的 ,是 可 鉴别 和 不 可 抵赖 的 。 
2. MDS 算法 


MD5 算法 以 512 位 (64 字 节 ) 分 组 来 处 理 输入 的 消息 ,每 个 分 组 又 划分 为 16 个 32 
位 的 子 分 组 (32X16 一 512)。 算 法 的 输出 是 4 个 32 位 分 组 ,将 它们 级 联 起 来 得 到 一 个 
128 位 (32X4 一 128) 的 散 列 值 。 

MD5 算法 的 处 理 过 程 如 下 : 

1) 消息 填充 

要 求 整个 消息 必须 是 512 位 的 整数 倍 ,如 果 不 满足 , 则 要 进行 填充 。 其 填充 方法 是 ， 
在 消息 后 面 先 填充 一 个 1, 然 后 是 若干 个 0, 最 后 是 一 个 64 位 的 实际 长 度 值 ,如 下 所 示 。 


消息 10000000…00 消息 长 度 (64 位 ) 


2) 变量 初始 化 

初始 化 4 个 32 位 变量 A、B.C、D( 链 接 变 量 ), 用 十 六 进 制 表示 ,初始 值 为 : 

A=01234567; B=89abcdef;C=fedcba98;D=76543210 

3) 算法 主 循环 

循环 次 数 是 消息 中 512 位 分 组 的 数目 。 首 先 把 4 个 链接 变量 复制 到 另 一 组 变量 中 : 

aeA; b<B; c*Cs dD 

然后 进入 主 循环 , 主 循环 有 4 轮 , 每 一 轮 基 本 相似 , 共 16 次 操作 。 每 次 操作 对 a,b,c 
和 d 中 的 3 个 变量 进行 一 次 非 线性 函数 运算 ,然后 将 所 得 结果 与 第 4 个 变量 、 一 个 子 分 组 
和 一 个 常数 相 加 ,再 将 所 得 结果 向 左 循环 移 位 若干 位 ,并 与 a、.b、c 和 d 中 的 一 个 相 加 。 最 
后 用 该 结果 取代 a、b、c 和 d 之 一 。 
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每 一 轮 循环 中 ,使 用 一 个 非 线性 函数 ,4 轮 共 使 用 了 4 个 非 线 性 函数 。 它 们 分 别 是 : 
FOX,Y,Z) 一 (XAY)VCCnXJ)AZ) 
GOX,Y,Z) 一 (XAZ)VCYA(”Z)) 

H(X,Y,Z)=X®@Y ®Z 
I(X,Y,2)=Y @O(XV (72)) 
其 中 "四 "为 “ 异 或 "运算 “人 A "为 “与 ?运算 ，“V ”为 “或 运算,“ 了" 为 “ 求 反 " 运 算 ("“ 非 ” 运 
算 )。 
设 M; 为 消息 的 第 j 个 子 分 组 (j 的 取 值 范围 是 0~15),L, 表示 循环 左 移 : 位 , 则 上 
述 4 种 操作 分 别 为 : 


FF(a,b,c,d,Mj,s,ti) 表 示 a==b 十 ((a 二 FC(b,c,d)+M;+t)L, 

GG(as,b,crd,Mj,svti) 表 示 a 二 b 十 ((a 十 G(b,e,d) 十 Mj 十 1)L， 
HH(a,b,cwd,Mj,svti) 表 示 a==b 十 ((a 十 H(b,c,d) 二 Mj 十 tD)L， 
TI(a,b,c,d,M;,s,ti) 表 示 a 二 b 十 ((a 十 1(b,e,d) 十 Mj 十 1t)L， 


第 一 轮 运算 为 : 

FF(a,b,c,d,M, .7,d76aa478), 
FF(c,d,a,b,M; .17,242070db)， 
FF(a,b,c,d,M, ,7,f57c0faf), 
FF(c,d,a,b,Ms ,17,a8304613)., 
FF(a,b,c,d,Ms .7,698098d8), 
FF(c,d,a,b, Mo ,17,ffff5bb1), 
FF(a,b,c,d,Mi: .7.6b901122) , 
FF(c,d,a,b,M .17,a679438e), 
第 二 轮 运 算 为 : 

GG(a,b,c,d,M ,5,f61e2562), 
GG(c,d,a,b, Mu .14,265e5a51), 
GG(a,b,c,d,Ms .5,d62f105d), 
GG(c,d,a,b,M'is ,14,d8ale681), 
GG(a,b,c.d,M, .5,2lelcde6), 
GG(c,d,a,b,M; ,14,.f4d50d87) , 
GG(a,b,c,d,M,5,a9e3e905), 
GG(c,d,a,b,M; ,14,676f02d9), 
第 三 轮 运算 为 : 

HH(a,b,c,d,M; ,4,fffa3942) , 
HHCc,d,a,b,Mia ,16,6d9d6122), 
HH(Ca,b,c,d,Mi ,4,a4beea44), 
HH(c,d,a,b,M; .16,f6bb4b60), 
HH(a,b,c,d,Mis,4,289b7ec6), 
HH(ec,d,a,b,M; ,16,d4ef3085), 


FF(d,.a,b,c,.M ,12,e8c7b756) 
FF(b,c,d,a,M; ,22,clbdceee) 
FF(d,a,b,c, Ms ,12,4787c62a) 
FF(b,c,d,a,M; .22,fd469501) 
FF(d,a,b,c,M, ,12,8b44f7af) 
FF(b,c,d,a,Mi ,22,895cd7be) 
FF(d,a,b,c, Ms ,12,fd987193) 
FF(b,c,d,a, M's ,22,49b40821) 


GG(d,a,b,c, Ms ,9,c040b340 ) 
GG(b,c.d,a, Mo .20,e9b6c7aa) 
GG(d,asb,c, Mo ,9,02441453 ) 
GG(b,c,.d,a, M, ,20,e7d3fbc8) 
GG(d,a,b,c, Mua,9, c33707d6) 
GG(b,c,d,a,Ms ,20,455al4ed) 
GG(d,a,b,c,M,.9, fcefa3{8) 

GG(b,c,d,a, Mi ,20,8d2a4c8a) 


HH(d,a,b,c,Ms .11.,8771f681 ) 
HH(b,c,d,a, Mi ,23,fde5380c) 
HH(d,a,b,c,M, .11.4bdecfa9 ) 
HH(b,c,d,a,Mio ,23,bebfbc70) 
HH(Cd.a,b,c,Mo .11，xeaal27a) 
HHCb,c,d,a,Me ,23.04881d05) 
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HH(a,b,c,d,M, ,4,d9d4d039), HH(d.a,b,c,Mi;, ,11,e6db99e5 ) 
HH(ec,d,a,b,M's ,16,1fa27cf8), HH(b,c,.d,a,M;.23,c4ac5665) 


第 四 轮 运算 为 : 

IT(a,b,c,d,M,o ,6,f4292244) ， ll(d,a,b,c,M; .10, 432aff97) 

IT(c,d,a,b, Mi ,15,ab9423a7), l(b,c,d,a, Ms ,21 ,fc93a039) 

IT(a,b,c,d,Mi, ,6,655b58c3), ll(d,a,b,c,M; ,10, 8f0ccc92) 

l(c,d,a,b,Mio ,15,ffeff47d), l(b,c,d,a, Mi ,21.85845dd1) 

l(a,b,c,d,Ms ,6,6fa87e4f), ll(d,a,b,c,M's ,10, fe2ce6e0) 
l(c,d,a,b,Ms ,15,a3014314), l(b,c,d,a, Mis,21,4e0811al) 
l(a,b,c,d,M, ,6,f7537e82), ll(d,a,b,c, My ,10, bd3af235) 


HCe,d,a,b,M;,15,2ad7d2bb), IICb,c,d,a,Ms ,21,eb86d391) 

在 所 有 运算 完成 后 ,将 A、B、C、D 分 别 加 上 a、b、ecd 的 值 。 然 后 使 用 下 一 个 分 组 数 
据 继续 进行 上 述 运算 。 

4) 输出 结果 

将 最 后 输出 的 A、B、C.D 的 值 级 联 起 来 ,形成 一 个 128 位 散 列 值 ,也 就 是 MD5 算法 
的 消息 摘要 值 。 


417 公开 密 钥 加 密 体制 


前 面 介绍 的 对 称 密码 体制 的 一 个 显著 的 缺点 是 ,在 进行 保密 通信 时 ,发 送 者 与 接收 
者 需要 使 用 一 个 安全 的 通信 信道 来 建立 会 话 密 钥 , 即 要 通过 一 个 安全 的 信道 来 传送 密 
码 。 这 可 以 通过 两 种 方式 解决 ,其 一 , 若 信 源 方 已 制定 了 一 个 密码 (共享 密 钥 ), 可 通过 对 
该 密 钥 进行 加 密 后 传输 给 信 宿 方 ; 其 二 ,通信 双方 都 通过 密 钥 分 配 中 心 申 请 获取 一 个 会 
话 密 钥 。 前 者 可 以 用 人 工 方式 传递 共享 密 钥 ;后 者 需要 通信 双方 都 与 密 钥 分 配 中 心 有 一 
个 共享 密 钥 ,共享 密 钥 同样 用 人 工 等 方式 传递 。 因 而 密 钥 分 配 成 本 很 高 ,并 且 依赖 于 信 
使 或 密 钥 分 配 中 心 的 可 靠 性 。 在 某 些 情 况 下 ,甚至 无 法 及 时 获得 建立 会 话 密 钥 所 需 的 合 
理 安全 信道 。 因 此 ,通信 双方 也 就 不 能 进行 信息 的 安全 传输 。 为 解决 这 一 问题 ,引入 了 
公开 密 钥 加 密 体制 。 


1. 公开 密 钥 加 密 算法 的 特点 


在 公开 密 钥 密码 体制 中 ,使 用 一 个 加 密 算法 E 和 一 个 解密 算法 D,E 和 D 是 不 相同 
的 ,下 是 公开 的 (这 就 是 “公开 密 钥 " 一 词 的 出 处 ) ,一 般 的 用 户 ( 通 常 指 第 三 方 非法 攻击 
者 ) 即 使 知道 了 EE, 也 是 无 法 推导 出 DD 的 。 

公开 密 钥 体制 有 3 个 特点 : 

» D(E(P))=P, 

。 由 王 来 推断 D 是 极其 困难 的 。 

。 用 已 选 定 的 明文 进行 分 析 . 是 不 能 破译 下 的 。 

只 要 满足 了 上 述 3 个 条 件 , 则 加 密 算法 E 是 可 以 公开 的 。 公 开 密 钥 密 码 体 制 如 
图 4-9 所 示 。 
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图 4-9 公开 密 钥 加 密 体制 的 加 密 流程 


2. 如 何 用 公开 密 钥 进行 加 、 解 密 


现在 考虑 两 个 用 户 A 和 B, 两 者 从 未 联系 过 ,而 要 想 在 A 和 B 之 间 建 立 保密 信道 。 
人 所 确定 的 加 密 密 钥 为 E,B 的 加 密 密 钥 为 Es ,并 将 EA 和 Es 放 在 网 上 作为 公共 可 读 文 
件 ( 共 享 文件 ) 内 。 现 在 A 要 发 送 报 文 P 给 B, 首 先 算出 密 文 C=Es(P), 即 用 B 方 的 公开 
密 钥 进行 加 密 , 并 把 他 发 送 给 B。B 收 到 密 文 C= Es(P) 后 ,使 用 密 钥 Ds 进行 解密 , 即 

Ds (Es(P))=P 
在 这 里 ,Es 是 公开 的 而 Ds 是 不 公开 的 ,从 而 达到 保密 的 目的 。 因 为 解密 算法 Ds 只 有 B 才 
知道 ,所 以 只 有 B 才能 对 密 文 Es(P) 进 行 解密 。 其 加 密 /解密 过 程 如 图 4-9 所 示 。 

在 介绍 公开 密 钥 算 法 之 前 , 先 介 绍 一 个 术语 “ 单 向 函数 ”, 如 果 对 一 个 函数 f 的 定义 
域 上 的 任意 一 个 x 容易 计算 出 f(x) 的 值 ,但 对 太 的 值 域 上 的 任意 一 个 > , 广 (>y) 在 计算 
上 不 可 行 ,就 称 f 是 单 向 函数 。 

单 向 函数 是 密码 学 中 的 一 项 重要 的 研究 内 容 , 在 现实 中 ,确实 存在 许多 函数 被 认为 
是 单 向 的 ( 即 具有 单 向 函数 的 )。 这 里 给 出 一 个 可 信 程度 很 高 的 单 向 函数 的 例子 。 

假设 是 两 个 大 素数 p 和 g 的 乘积 ,分 解 n 被 认为 是 一 个 非常 困难 的 问题 。 并 设 。 
是 一 个 正 整 数 ,定义 函数 f: Z, 一 2Z,,f(z) 二 x* mod n, 则 了 被 认为 是 一 个 单 向 函数 。 当 
知道 了 n 的 因子 是 p 或 g 时 ,计算 逆 是 容易 的 ,因而 了 是 陷 门 单 向 函数 。 

在 这 里 ,介绍 的 是 RSA 公开 密 钥 加 密 体 制 , 该 算法 是 由 R. Rivest、A. Shamir 和 
L. Adleman 3 个 人 在 1977 年 共同 提出 的 , 称 为 RSA(RSA 是 取 这 3 位 研制 者 姓 的 首 字 
母 的 组 合 ) 算 法 。 


3. RSA 算法 描述 


RSA 算法 正 是 利用 了 陷 门 单 向 函数 的 一 种 可 逆 模 指数 运算 。 它 的 安全 性 是 基于 大 
整数 分 解 因子 的 困难 性 的 理论 基础 。 

1) RSA 密码 体制 的 建立 

建立 一 个 RSA 密码 体制 的 过 程 如 下 : 

。 选择 两 个 大 素数 p 和 g。 

。 计算 乘积 x 二 pg 和 yp(z) 一 (一 1)(q 一 1)。 

。 选择 一 个 大 于 1 而 小 于 w(z) 的 随机 整数 e. 使 得 gcd(e, p(z)) 王 1 (这 里 的 gcd() 
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为 互 质 函 数 )。 
。 计算 d 使 得 de 二 1 mod gpg(n), 即 de mod g(n) 一 1 
。 对 每 一 个 密 钥 & 二 (n,p,q,d,e) ,定义 加 密 变 换 为 > 一 ECz) 一 zemod n, 解 密 变 换 
为 D(z) 二 y* mod mn, 这 里 zyEZ,。 

。 将 {e,n} 作 为 公开 密 钥 ,{d,n} 作 为 私有 密 钥 。 

这 样 就 建立 了 一 个 明文 空间 P 和 密 文 空间 C 为 P= 二 C==2,, 密 钥 空 间 为 K={(n,p， 
ded): n 二 pg,p 和 9g 是 大 素数 ,1 二 e,d 二 p(n): de 二 1 mod gp(n)) 的 RSA 密码 体制 。 

设 接收 方 B 在 网 上 公开 他 的 公 钥 ,并 希望 向 他 发 送 一 个 消息 P, 发 送 方 A 计算 密 文 
C= 二 Prmod n, 并 将 C 传送 给 B,B 收 到 密 文 C 后 通过 计算 已 一 C*mod n 进行 解密 。 

由 于 这 里 选择 的 < 和 vd 满足 ed 二 1 mod p(z) ,因而 ed 具有 Ap(z) 十 1 的 形式 。 

2) RSA 算法 实例 

例 4-6 用 两 个 小 素数 7 和 17 来 建立 一 个 简单 的 RSA 算法 。 

选择 两 个 素数 p 二 7 和 qd=17。 

@ 计算 得 n=pXg=7X17=119,g(m)=(p 一 1) X(q 一 1) 一 6X16 一 96。 

@ 选择 一 个 随机 整数 一 5,e 二 1 且 小 于 wp(z) 并 且 与 p(z) 互 质 。 

@ 求 出 d, 使 得 de 二 1 mod 96 且 d 一 96, 此 处 求 出 d 一 77, 因 为 77X5 一 385 一 4X96 十 1。 

@ 设 P=19, 计 算 19 模 119 的 5 次 寡 ,P 一 19: mod 119 一 66, 即 密 文 C 一 66 。 

@) 接收 方 收 到 密 文 66 后 ,计算 66 模 119 的 77 次 寡 : P=C? 一 667 mod 119 得 到 明 
文 19。 

当然 ,在 实际 应 用 中 p、g.nve 和 vd 都 要 取 很 大 的 值 .通常 p 和 4g 的 值 应 是 100 位 以 
上 的 十 进 制 整数 。 


42 访问 控制 技术 与 安全 审 入 技术 


421 访问 控制 技术 


访问 控制 是 一 门 研究 用 户 对 资源 的 访问 权限 进行 控制 的 技术 。 访 问 控制 策略 基于 
两 点 : 

。 有 效 地 保障 合法 用 户 ( 授 权 用 户 ) 访 问 资源 。 

。 拒 绝 非法 用 户 ( 非 授权 用 户 ) 访 问 资源 。 


1. 访问 控制 目标 


在 用 户 身份 认证 和 授权 之 后 ,访问 控制 机 制 将 根据 预先 设 定 的 规则 对 用 户 访问 某 项 
资源 (目标 ) 进 行 控制 ,只 有 规则 允许 时 才能 访问 ,违反 预定 安全 规则 的 访问 行为 将 被 拒 
绝 。 资源 可 以 是 信息 资源 .处 理 资源 .通信 资源 或 者 物理 资源 ,访问 方式 可 以 是 获取 信 
息 、 修 改 信息 或 者 完成 某 种 功能 .一 般 情 况 可 以 理解 为 读 、 写 或 者 执行 的 访问 行为 。 

访问 控制 的 目的 是 为 了 限制 访问 主体 对 访问 客体 的 访问 权限 ,从 而 将 计算 机 及 网 络 
系统 限制 在 合法 范围 内 使 用 。 其 中 主体 可 以 是 某 个 用 户 ,也 可 以 是 用 户 启动 的 进程 和 服 
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务 。 为 达到 此 目的 ,访问 控制 需要 完成 以 下 两 个 任务 。 

。 识别 和 确认 访问 系统 的 用 户 。 

。 决定 该 用 户 可 以 对 某 一 系统 资源 进行 何 种 类 型 的 访问 。 

访问 控制 一 般 包括 3 种 类 型 .自主 访问 控制 ,强制 访问 控制 和 基于 角色 的 访问 控制 。 
下 面 将 分 别 进行 介绍 。 


2. 自主 访问 控制 


自主 访问 控制 DAC(Discretionary Access Control) 是 一 种 最 基本 的 访问 控制 方式 ， 
它 是 基于 对 主体 或 主体 所 属 的 主体 组 的 识别 来 限制 对 客体 的 访问 ,这 种 控制 是 自主 的 。 
自主 是 指 主 体能 够 自主 地 将 访问 权 或 访问 权 的 某 个子 集 授予 其 他 主体 。 简 单 来 说 ,自主 
访问 控制 就 是 由 拥有 资源 的 用 户 自己 来 决定 一 个 或 多 个 主体 可 以 在 什么 程度 上 访问 哪 
些 资源 。 

自主 访问 控制 是 一 种 比较 宽松 的 访问 控制 ,一 个 主体 的 访问 权限 具有 传递 性 。 比 如 
大 多 数 交互 系统 的 工作 流程 是 这 样 的 ,用 户 首先 登录 ,然后 启动 某 个 进程 为 该 用 户 做 某 
项 工作 ,这 个 进程 就 继承 了 该 用 户 的 属性 ,包括 访问 权限 。 这 种 权限 的 传递 可 能 会 给 系 
统 带 来 安全 隐患 , 某 个 主体 通过 继承 其 他 主体 的 权限 而 得 到 了 它 本 身 不 应 具有 的 访问 权 
限 ,就 可 能 破坏 系统 的 安全 性 ,这 是 自主 访问 控制 方式 最 大 的 缺陷 。 


3. 访问 控制 表 


访问 控制 表 ACL(Access Control List) 是 基于 访问 控制 矩阵 中 列 的 自主 访问 控制 。 
它 在 一 个 客体 上 附加 一 个 主体 明细 表 , 用 以 表示 各 个 主体 对 该 客体 的 访问 权限 。 明 细 表 
中 的 每 一 项 都 包括 主体 的 身份 和 主体 对 这 个 客体 的 访问 权限 。 如 果 使 用 组 (group) 或 者 
通配符 的 概念 ,可 以 有 效 地 缩短 表 的 长 度 。 

访问 控制 表 是 实现 自主 访问 控制 比较 好 的 方式 ,下面 通过 例子 进行 详细 说 明 。 

对 系统 中 一 个 需要 保护 的 客体 。O; 附 加 的 访问 控制 表 的 结构 如 图 4-10 所 示 。 


O;: So.re Sir Ss.e 本 Su.rew 


图 4-10 访问 控制 表 


其 中 : Si(G 一 1,2,…,z2): 主体 名 ; 

r(read): 读 ; 

e(execute): 执行 ; 

w(write): 写 ; 

n(no): 未 授权 。 

在 图 4-10 的 例子 中 ,对 于 客体 0; ,主体 5S, 具 有 读 (r) 和 执行 (e) 的 权利 : 主体 S1 只 有 
读 的 权利 ;主体 S* 只 有 执行 的 权利 ;而 主体 Ss。 具有 读 、 写 和 执行 的 权利 。 

在 一 个 很 大 的 系统 中 ,会 有 非常 多 的 主体 和 客体 ,这 会 导致 访问 控制 表 非 常 长 ,占用 
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很 多 的 存储 空间 ,而 且 访问 时 效率 下 降 。 为 解决 这 一 问题 就 需要 分 组 和 使 用 通配符 。 
在 多 用 户 系统 中 ,用 户 可 根据 部 门 结构 或 工作 性 质 被 分 为 几 个 类 ,同一 个 类 中 的 所 
有 用 户 使 用 的 资源 基本 上 是 相同 的 。 因 此 ,可 以 把 同一 个 类 的 用 户 作为 一 个 组 ,分 配 一 
个 组 名 ,简称 GN。 这 时 ,访问 控制 表 中 的 主体 标识 为 (在 这 里 ,通配符 “* ”可 以 代替 任何 
组 名 或 者 主体 标识 符 ): 
主体 标识 =ID. GN 
其 中 ,ID 是 主体 标识 符 ,GN 是 主体 所 在 组 的 组 名 ,如 图 4-11 所 示 。 


O;: Liu. INFO. rew # .JINFO. re Zhang. *.r #.#.n 


图 4-11 带 有 组 和 通配符 的 访问 控制 表 


在 图 4-11 的 访问 控制 表 中 ,第 1 个 和 第 2 个 表 项 说 明 属于 INFO 组 的 所 有 主体 都 对 
客体 0;) 具 有 “ 读 ” 和 “执行 "的 权利 ,但 只 有 INFO 组 中 的 主体 liu 才 额 外 具有 * 写 ”的 权限 ， 
第 3 个 表 项 说 明 无 论 是 哪 一 组 中 的 zhang 都 可 以 * 读 ”客体 0; ;最 后 一 个 表 项 说 明 所 有 其 
他 的 主体 ,无 论 属于 哪个 组 ,都 不 具备 对 O; 有 任何 访问 权限 。 

在 访问 控制 表 中 还 需要 考虑 的 一 个 问题 是 默认 问题 。 默 认 功 能 的 设置 可 以 方便 用 
户 的 使 用 ,同时 也 避免 了 许多 文件 泄露 的 可 能 。 最 基本 的 , 当 一 个 主体 生成 一 个 客体 时 ， 
该 客体 的 访问 控制 表 中 对 应 生成 者 的 表 项 应 该 设置 成 默认 值 ,比如 具有 读 、 写 和 执行 权 
限 。 另 外 , 当 某 一 个 新 的 主体 第 一 次 进入 系统 时 ,应 该 说 明 它 在 访问 控制 表 中 的 默认 值 ， 
比如 只 有 读 的 权限 。 


4. 访问 能 力 表 


前 面 说 过 ,访问 控制 表 是 基于 * 列 "的 自主 访问 控制 ,而 访问 能 力 表 (access capabilities 
list) 则 是 基于 *“ 行 "的 自主 访问 控制 。 能 力 (capability) 是 为 主体 提供 的 、 对 客体 具有 特定 
访问 权限 且 不 可 伪造 的 标志 , 它 决 定 主体 是 否 可 以 访问 客体 以 及 以 什么 对 客体 有 什么 访 
问 权 限 。 主 体 可 以 将 能 力 转移 给 为 自己 工作 的 进程 ,在 进程 运行 期 间 , 还 可 以 添加 或 者 
修改 能 力 。 能 力 的 转移 不 受 任何 策略 的 限制 ,所 以 对 于 一 个 特定 的 客体 ,还 不 能 确定 所 
有 有 权 访问 它 的 主体 。 因 此 .访问 能 力 表 不 能 实现 完备 的 自主 访问 控制 ,而 访问 控制 表 
是 可 以 实现 的 。 利 用 访问 能 力 表 实现 的 自主 访问 控制 系统 不 是 很 多 ,其 中 只 有 少数 系统 
试图 通过 增加 其 他 措施 实现 完备 的 自主 访问 控制 。 

图 4-12 说 明了 访问 能 力 表 的 样式 。 


Si: Ov. orew Or ss Orw 


图 4-12 访问 控制 能 力 表 


图 4-12 是 主体 5; 的 访问 能 力 表 . 图 中 的 每 一 表 项 包括 客体 的 标识 和 S: 对 该 客体 的 
访问 能 力 。 如 图 4-12 所 示 ,S; 是 客体 Oo。 的 拥有 者 ,并 对 它 具 有 最 大 的 访问 能 力 ( 读 、 写 、 
执行 ) ;Si 对 客体 Oi 只 有 读 的 能 力 ;S; 对 客体 O, 具 有 读 和 写 的 能 力 。 
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能 力 机 制 的 最 大 特点 是 能 力 的 拥有 者 可 以 在 主体 中 转移 能 力 。 在 转移 的 能 力 中 有 
一 种 叫做 “转移 能 力 ”, 它 允许 接受 能 力 的 主体 继续 转移 能 力 。 比 如 ,进程 人 将 某 个 能 力 
的 备份 转移 给 进程 B,B 又 将 能 力 的 备份 传递 给 进程 C。 如 果 B 不 想 让 C 继续 转移 这 个 
能 力 , 就 在 转移 给 C 的 能 力 备 份 中 去 掉 转 移 能 力 ,这 样 C 就 不 能 转移 能 力 了 。 主 体 为 了 
在 能 力 取消 时 从 所 有 主体 中 彻底 清除 自己 的 能 力 , 需 要 跟踪 所 有 的 转移 。 


5. 强制 访问 控制 


自主 访问 控制 的 最 大 特点 是 自主 , 即 资源 的 拥有 者 对 资源 的 访问 策略 具有 决策 权 ， 
因此 是 一 种 限制 比较 弱 的 访问 控制 策略 。 这 种 方式 给 用 户 带 来 灵活 性 的 同时 ,也 带 来 了 
安全 隐患 。 

在 一 些 系统 中 ,需要 更 加 强硬 的 控制 手段 ,强制 访问 控制 MAC (Mandatory Access 
Control) 就 是 一 种 这 样 的 机 制 。 

强制 访问 控制 系统 为 所 有 的 主体 和 客体 指定 安全 级 别 , 比 如 绝密 级 、 机 密级 、 秘 密级 
和 无 密级 。 不 同 级 别 标记 了 不 同 重要 程度 和 能 力 的 实体 。 不 同 级 别 的 主体 对 不 同 级 别 
的 客体 的 访问 是 在 强制 的 安全 策略 下 实现 的 。 

在 强制 访问 控制 机 制 中 ,将 安全 级 别 进行 
排序 ,比如 按照 从 高 到 低 排列 ,规定 高 级 别 可 
在 以 单 向 访问 低级 别 , 也 可 以 规定 低级 别 可 以 
单 向 访问 高 级 别 。 这 种 访问 可 以 是 读 ,也 可 以 
是 写 或 修改 。 在 Bell Lapadula 模型 中 ,信息 
的 完整 性 和 保密 性 是 分 别 考虑 的 ,因而 对 读 写 
的 方向 进行 了 反 向 规定 ,如 图 4-13 所 示 。 

1) 保障 信息 完整 性 策略 

为 了 保障 信息 的 完整 性 ,低级 别 的 主体 可 图 4-13 强制 访问 控制 MAC 模型 
以 读 高 级 别 客体 的 信息 (不 具 保 密 性 ) ,但 低级 
别 的 主体 不 能 写 高 级 别 的 客体 (保障 信息 完整 ), 因 此 采用 的 是 上 读 / 下 写 策 略 。 即 属于 
某 一 个 安全 级 的 主体 可 以 读本 级 和 本 级 以 上 的 客体 ,可 以 写本 级 和 本 级 以 下 的 客体 。 比 
如 机 密级 主体 可 以 读 绝密 级 、 机 密级 的 客体 ,可 以 写 机 密级 、 秘 密级、 无 密级 的 客体 。 这 
样 , 低 密级 的 用 户 可 以 看 到 高 密级 的 信息 ,因此 ,信息 内 容 可 以 无 限 扩散 ,从 而 使 信息 的 
保密 性 无 法 保障 ;但 低 密级 的 用 户 永远 无 法 修改 高 密级 的 信息 ,从 而 保障 信息 的 完整 性 。 

2) 保障 信息 机 密 性 策略 

与 保障 完整 性 策略 相反 ,为 了 保障 信息 的 保密 性 ,低级 别 的 主体 不 可 以 读 高 级 别 的 
信息 (保密 ) ,但 低级 别 的 主体 可 以 写 高 级 别 的 客体 (完整 性 可 能 破坏 ), 因 此 采用 的 是 下 
读 / 上 写 策略 。 即 属于 某 一 个 安全 级 的 主体 可 以 写本 级 和 本 级 以 上 的 客体 ,但 只 能 读本 
级 和 本 级 以 下 的 客体 。 比 如 机 密级 主体 可 以 写 绝 密级 、 机 密级 的 客体 ,可 以 读 机 密级 、 秘 
密级 .无 密级 的 客体 。 这样, 低 密级 的 用 户 可 以 写 高 密级 的 信息 ,因此 ,信息 完整 性 得 不 
到 保障 : 但 低 密级 的 用 户 永远 无 法 看 到 高 密级 的 信息 ,从 而 保障 信息 的 保密 性 。 

综 上 所 述 ,自主 访问 控制 技术 较 弱 ,而 强制 访问 控制 技术 又 太 强 ,会 给 用 户 带 来 许多 
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不 便 。 因 此 ,在 实际 应 用 中 ,往往 将 自主 访问 控制 技术 与 强制 访问 控制 技术 结合 在 一 起 
使 用 。 自 主 访问 控制 作为 基础 的 .常用 的 控制 手段 ;强制 访问 控制 作为 增强 的 、 更 加 严格 
的 控制 手段 。 某 些 客体 可 以 通过 自主 访问 控制 保护 ,重要 课题 必须 通过 强制 访问 控制 
保护 。 

下 面 介绍 一 个 实例 ,UNIX 文件 系统 强制 访问 控制 机 制 的 Multics 方案 。 

在 Multics 方案 中 ,文件 系统 和 UNIX 文件 系统 一 样 ,是 一 个 树 形 结构 ,所 有 的 用 户 
和 文件 (包括 目录 文件 ) 都 有 一 个 相应 的 安全 级 。 用 户 对 文件 的 访问 需要 遵守 下 述 安全 
策略 。 

。 仅 当 用 户 的 安全 级 别 不 低 于 文件 的 安全 级 别 时 ,用 户 才 可 以 读 文 件 (下 读 策 略 ) 。 

。 仅 当 用 户 的 安全 级 别 不 高 于 文件 的 安全 级 别 时 ,用 户 才 可 以 写 文件 (上 写 策略 ) 。 

这 就 是 前 面 详细 介绍 过 的 保密 性 策略 。 


6. 基于 角色 的 访问 控制 


在 传统 的 访问 控制 中 ,主体 始终 是 和 特定 实体 捆绑 对 应 的 。 例 如 ,用 户 以 固定 的 用 
户 名 注册 ,系统 给 其 分 配 一 定 的 权限 ,该 用 户 将 始终 以 该 用 户 名 访问 系统 ,直至 销 户 。 其 
间 ,用 户 的 权限 可 以 变更 ,但 变更 必须 在 系统 管理 员 的 授权 下 才能 进行 。 然 而 在 现实 社 
会 中 ,这 种 访问 控制 方式 表现 出 很 多 弱点 ,不 能 满足 实际 需求 。 主 要 问题 如 下 : 

。 同一 用 户 在 不 同 的 场合 需要 以 不 同 的 权限 访问 系统 , 按 传统 的 做 法 ,变更 权限 必 

须 经 系统 管理 员 授权 修改 ,因此 很 不 方便 。 

。 当 用 户 量 大 量 增加 时 , 按 每 个 用 户 一 个 注册 账号 的 方式 将 使 得 系统 管理 变 得 复 

杂工 作 量 急剧 增加 ,也 容易 出 错 。 

。 传统 访问 控制 模式 不 容易 实现 层次 化 管理 。 即 按 每 用 户 一 个 注册 账号 的 方式 很 

难 实现 系统 的 层次 化 分 权 管 理 , 尤 其 是 当 同一 用 户 在 不 同 场合 处 的 不 同 的 权限 层 
次 时 ,系统 管理 很 难 实现 。 除 非 同一 用 户 以 多 个 用 户 名 注册 。 

基于 角色 的 访问 控制 模式 RBAC(Role Based Access Control) ,就 是 为 克服 以 上 问题 
而 提出 来 的 。 在 基于 角色 的 访问 控制 模式 中 ,用 户 不 是 自始至终 以 同样 的 注册 身份 和 权 
限 访 问 系统 ,而 是 以 一 定 的 角色 访问 ,不 同 的 角色 被 赋予 不 同 的 访问 权限 ,系统 的 访问 控 
制 机 制 只 看 到 角色 ,而 看 不 到 用 户 。 用 户 在 访问 系统 前 ,经 过 角色 认证 而 充当 相应 的 角 
色 。 用 户 获得 特定 角色 后 ,系统 依然 可 以 按照 自主 访问 控制 或 强制 访问 控制 机 制 控制 角 
色 的 访问 能 力 。 

1) 角色 的 概念 

一 组 特定 应 用 的 操作 (或 过 程 ) 称 为 角色 (role)。 在 这 里 ,角色 指 从 事 相关 工作 内 容 
的 一 类 人 员 ,或 是 一 组 完成 相同 处 理 的 相关 进程 。 是 主体 从 它们 履行 的 角色 上 获得 访问 
权限 。 

在 基于 角色 的 访问 控制 中 .角色 定义 为 与 一 个 特定 活动 相关 联 的 一 组 动作 和 责任 。 
系统 中 的 主体 担任 角色 ,完成 角色 规定 的 责任 ,具有 角色 拥有 的 权限 。 一 个 主体 可 以 同 
时 担任 多 个 角色 , 它 的 权限 就 是 多 个 角色 权限 的 总 和 。 基 于 角色 的 访问 控制 就 是 通过 各 
种 角色 的 不 同 搭配 授权 来 尽 可 能 实现 主体 的 最 小 权限 (最 小 授权 指 主体 在 能 够 完成 所 有 
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必需 的 访问 工作 基础 上 的 最 小 权限 ) 。 

例如 ,在 一 个 银行 系统 中 ,可 以 定义 出 纳 员 、 分 行 管理 者 .系统 管理 员 、 顾 客 和 审计 员 
等 角色 。 其 中 ,担任 系统 管理 员 的 用 户 具 有 维护 系统 文件 的 责任 和 权限 ,无 论 这 个 用 户 
具体 是 谁 。 系 统管 理 员 可 能 是 由 某 个 出 纳 员 兼任 ,他 就 具有 两 种 角色 。 但 是 出 于 责任 分 
离 的 考虑 ,需要 对 一 些 权利 集中 的 角色 组 合 进行 限制 ,比如 规定 分 行 管理 者 和 审计 员 不 
能 由 同一 个 用 户 担任 。 

基于 角色 的 访问 控制 可 以 看 作 是 基于 组 的 自主 访问 控制 的 一 种 变 体 ,一 个 角色 对 应 
一 个 组 。 

2) 基于 角色 的 访问 控制 

基于 角色 的 访问 控制 就 是 通过 定义 角色 的 权限 ,为 系统 中 的 主体 分 配角 色 来 实现 访 
问 控制 的 ,其 一 般 模型 如 图 4-14 所 示 。 用 户 先 经 认证 后 获得 一 定 角色 ,该 角色 被 分 派 了 
一 定 的 权限 ,用 户 以 特定 角色 访问 系统 资源 ,访问 控制 机 制 检查 角色 的 权限 ,并 决定 是 否 
允许 访问 。 


1. 认证 


用 户 


3. 请 求 
角色 上 亡 权限 
4. 分 派 
5. 访问 请 求 


访问 控制 | 全 廊 癌 -| 资源 


图 4-14 RBAC 模型 


2. 分 派 


下 面 通过 一 个 具体 实例 来 说 明基 于 角色 的 访问 控制 策略 。 例 如 ,前 面 已 经 定义 了 角 
色 的 银行 系统 ,可 设计 如 下 的 访问 策略 。 
允许 出 纳 员 修改 顾客 的 账号 记录 (包括 存款 、 取 款 和 转账 等 ), 并 允许 出 纳 员 询问 
所 有 账号 的 注册 项 。 
允许 分 行 管理 者 修改 顾客 的 账号 记录 (包括 存款 、 取 款 , 但 不 包括 规定 的 资金 数目 
的 范围 ), 并 允许 分 行 管理 者 查询 所 有 账号 的 注册 项 ,还 可 以 创建 和 取消 账号 。 
允许 一 个 顾客 询问 自己 的 注册 项 ,但 不 能 询问 其 他 任何 的 注册 项 。 
允许 系统 管理 员 询问 系统 注册 项 和 开关 系统 ,但 不 允许 读 或 修改 顾客 的 账号 信息 。 
允许 审计 员 阅 读 系统 中 所 有 的 信息 ,但 不 允许 修改 任何 信息 。 
这 种 策略 陈述 具有 很 明显 的 优势 ,包括 如 下 : 
。 表示 方法 和 现实 世界 一 致 ,使 得 非 技术 人 员 也 容易 理解 。 
。 容易 映射 到 访问 矩阵 和 基于 组 的 自主 访问 控制 ,便于 实现 。 


422 安全 审计 技术 


1. 安全 审计 的 目标 


审计 技术 出 现在 计算 机 技术 之 前 ,是 产生 、 记 录 并 检查 按时 间 顺 序 排列 的 系统 事件 
记录 的 过 程 。 安 全 审计 是 计算 机 和 网 络 安全 的 重要 组 成 部 分 。 安 全 审计 提供 的 功能 服 


82 Mis ats ssnit 


务 于 直接 和 间接 两 方面 的 安全 目标 ,直接 的 安全 目标 包括 跟踪 和 监测 系统 中 的 异常 事 
件 , 间 接 的 安全 目标 是 监视 系统 中 其 他 安全 机 制 的 运行 情况 和 可 信和 度 。 

所 有 审计 的 前 提 是 有 一 个 支配 审计 过 程 的 规则 集 。 规 则 的 确切 形式 和 内 容 随 审计 
过 程 具 体内 容 的 改变 而 改变 。 在 商业 与 管理 审计 中 ,规则 集 包 括 对 确保 商业 目标 的 实现 
有 重要 意义 的 管理 控制 ,过程 和 惯例 。 这 些 商 业 目 标 包括 资源 的 合理 使 用 、 利 率 最 大 化 、 
费用 最 小 化 ,符合 相应 的 法 律 法 规 和 适当 的 风险 控制 。 在 计算 机 安全 审计 的 特殊 情况 
下 ,规则 集 通 常 以 安全 策略 的 形式 明确 表述 。 并 且 , 为 了 能 完成 合理 的 审计 数据 分 析 , 策 
略 表 中 还 需要 增加 一 些 不 容易 明确 表述 的 规则 。 

计算 机 安全 审计 是 通过 一 定 的 策略 ,利用 记录 和 分 析 历史 操作 事件 发 现 系 统 的 漏洞 
并 改进 系统 的 性 能 和 安全 。 计 算 机 安全 审计 需要 达到 的 目的 包括 ,对 潜在 的 攻击 者 起 到 
震慑 和 警告 的 作用 ;对 于 已 经 发 生 的 系统 破坏 行为 提供 有 效 的 追究 责任 的 证 据 ; 为 系统 
管理 员 提 供 有 价值 的 系统 使 用 日 志 , 帮 助 系统 管理 员 及 时 发 现 系统 入 侵 行 为 或 潜在 的 系 
统 漏 洞 。 

James R Anderson 对 计算 机 安全 审计 机 制 的 目标 作 了 如 下 阐述 。 

。 应 为 安全 人 员 提 供 足 够 多 的 信息 ,使 他 们 能 够 定位 问题 所 在 。 但 另 一 方面 ,提供 

的 信息 应 不 足以 使 他 们 自己 也 能 够 进行 攻击 。 
。 应 优化 审计 追踪 的 内 容 , 以 检测 发 现 的 问题 ,而 且 必须 能 从 不 同 的 系统 资源 收集 信息 。 
。 应 能 够 对 一 个 给 定 的 资源 进行 审计 分 析 , 分 辩 看 似 正常 的 活动 ,以 发 现 内 部 计算 
机 系统 的 不 正当 使 用 。 

。 设计 审计 机 制 时 ,应 将 系统 攻击 者 的 策略 也 考虑 在 内 。 

概括 而 言 ,审计 系统 的 目标 至 少 包 括 如 下 : 

。 确定 和 保持 系统 活动 中 每 个 人 的 责任 。 

。 确 认 重 建 事件 的 发 生 ; 评 估 损 失 。 

。 监测 系统 问题 区 ;提供 有 效 的 灾难 恢复 依据 。 

。 提供 阻止 不 正当 使 用 系统 行为 的 依据 。 

。 提供 案件 侦破 证 据 。 


2. 安全 审计 系统 的 组 成 


审计 是 通过 对 所 关心 的 事件 进行 记录 和 分 析 来 实现 的 ,因此 审计 过 程 包括 审计 发 生 
器 .日 志 记 录 器 .日 志 分 析 器 和 报告 机 制 几 部 分 ,如 图 4-15 所 示 。 

审计 发 生 器 的 作用 是 在 信息 系统 中 , 当 各 种 事件 发 生 时 将 这 些 事件 的 关键 要 素 进 行 
抽取 并 形成 可 记录 的 素材 。 日志 记 录 器 将 审计 发 生 器 抽取 的 事件 素材 记录 到 指定 的 位 
置 上 ,从 而 形成 日 志文 件 。 日 志 分 析 器 根据 审计 策略 和 规则 对 已 形成 的 日 志文 件 进行 分 
析 , 得 出 某 种 事件 发 生 的 事实 和 规律 ,并 形成 日 志 审 计 分 析 报 告 。 


3. 日 志 的 内 容 


在 理想 情况 下 ,日 志 应 该 记录 每 一 个 可 能 的 事件 ,以 便 分 析 发 生 的 所 有 事件 ,并 恢复 
在 任何 时 刻 进行 的 历史 情况 。 然 而 ,这 样 做 显然 是 不 现实 的 ,因为 要 记录 每 一 个 数据 包 、 
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系统 事件 | “| 审计 发 生 器 闪失 半 
由 日 志文 件 
安全 事件 |-~ | 审计 发 生 器 记录 器 到 
1 
应 用 事件 -~ [市 计 发 生 器 BE | [i 
网 络 事件 二 -| 市 计 发 生 器 和 规划 
其 他 事件 || 审计 发 和 加 市 计 
分 析 报告 
显示 或 打印 


图 4-15 审计 系统 基本 结构 


每 一 条 命令 和 每 一 次 存 取 操作 ,需要 的 存储 量 将 远 远大 于 业务 系统 ,并 且 将 严重 影响 系 
统 的 性 能 。 因 此 ,日 志 的 内 容 应 该 是 有 选择 的 。 一 般 情 况 下 ,日 志 记录 的 内 容 应 该 满足 
以 下 原则 。 

。 日 志 应 该 记录 任何 必要 的 事件 ,以 检测 已 知 的 攻击 模式 。 

。 日志 应 该 记录 任何 必要 的 事件 ,以 检测 异常 的 攻击 模式 。 

。 日 志 应 该 记录 关于 记录 系统 连续 可 靠 工 作 的 信息 。 

在 这 些 原则 的 指导 下 ,日 志 系 统 可 根据 安全 策略 的 要 求 强度 选择 记录 下 列 事件 。 

， 审 计 功 能 的 启动 和 关闭 。 

。 使 用 身份 鉴别 机 制 。 

， 将 客体 引入 主体 的 地 址 空间 。 

。 删除 客体 。 

。 管理 员 .安全 员 、 审 计 员 和 一 般 操 作 人 员 的 操作 。 

。 其 他 专门 定义 的 可 审计 事件 。 

通常 ,对 于 一 个 事件 .日志 应 包括 事件 发 生 的 日 其 和 时 间 、 引 发 事件 的 用 户 、 事 件 的 
源 和 目的 的 位 置 .事件 类 型 事件 成 败 等 。 


4. 安全 审计 的 记录 机 制 


不 同 的 系统 可 采用 不 同 的 机 制 记录 日 志 。 日 志 的 记录 可 以 由 操作 系统 完成 ,也 可 以 
由 应 用 系统 或 其 他 专用 记录 系统 完成 。 但 是 ,大 部 分 情况 都 可 用 系统 调用 Syslog 来 记录 
日 志 , 也 可 以 用 SNMP( 简 单 网 络 管理 协议 ) 记 录 。 

Syslog 由 Syslog 守护 程序 、Syslog 规则 集 及 Syslog 系统 调用 3 部 分 组 成 ,如 图 4-16 
所 示 。 


| Syslog | Syslog 
日 志 素材 | “| 系统 调用 | “| 守护 进程 


f 
日 志 记 录 | | Syslog 
系统 规则 集 


图 4-16 Syslog 记录 机 制 
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记录 日 志 时 ,系统 调用 Syslog 将 日 志 素 材 发 送 给 Syslog 守护 程序 ,Syslog 守护 程序 
监听 Syslog 调用 或 Syslog 端口 (UDP514) 的 消息 ,然后 根据 Syslog 规则 集 对 收 到 的 日 志 
素材 进行 处 理 。 如 果 日 志 是 记录 在 其 他 计算 机 上 , 则 Syslog 守护 进程 将 转发 到 相应 的 日 
志 服 务 器 上 。Syslog 规则 集 是 用 来 配置 Syslog 守护 程序 如 何 处 理 日 志 的 规则 。 通 常 的 
规则 可 以 是 以 下 情况 : 

。 将 日 志 放 进 文件 中 。 

。 通过 UDP 将 日 志 记录 到 另 一 台 计 算 机 上 。 

。 将 日 志 写 人 系统 控制 台 。 

。 将 日 志 转 发 给 所 有 注册 的 用 户 。 

在 记录 日 志 时 ,为 了 便于 管理 ,通常 将 一 定时 段 的 日 志 存 为 一 个 文件 。 这 样 ,就 需要 
在 0:00 时 刻 切 换 日 志文 件 , 如 图 4-17 所 示 。 图 中 假设 日 志文 件 在 2006 年 5 月 15 日 堆 
点 切换 ,此 前 的 文件 名 为 logfile. 20060515 ,此 后 文件 名 为 logfile. 20060516 ,那么 0:00 日 
志 监 护 程序 会 生成 新 文件 ,关闭 旧 文件 ,同时 将 新 日 志 写 入 新 文件 中 。 


日 志 源 
Ea 
日 志 源 入 
日 志 源 So 


午夜 后 00:00:00 日志 文件 logfile.20060516 
图 4-17 日 志文 件 切 换 


):59 ”日 志文 件 logfile.20060515 
[| 


在 日 志文 件 切换 时 ,一 种 适合 切换 的 算法 是 每 次 写 文件 之 前 打开 文件 , 写 完 后 关闭 ， 
程序 如 下 : 
While (okTORIN) 
‘ 
Message= getlogmessage (); 
FIE= cpenFormppending(logfile)7 
MEPend (FTIE, message); 
Close (FIIE); 
} 
值得 注意 的 是 ,由 于 文件 的 打开 和 关闭 时 间 较 写 的 时 间 慢 得 多 ,因此 可 能 会 导致 有 
些 事件 丢失 。 为 此 ,可 以 将 一 个 文件 永久 打开 , 供 日 志 读 写 。 程 序 如 下 : 
FIE= opengorMppending (logfile)7 
While (okTORIN) 
{ 
Message= getlogressage (); 
Mpend (FTIE, message); 
} 
Close (FETE); 
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但 这 样 又 会 影响 日 志文 件 的 切换 。 因 此 比较 好 的 做 法 是 将 Syslog 监护 程序 打开 的 
文件 作为 原始 日 志文 件 , 另 外 增加 一 个 日 志 整 理 进程 ,专门 负责 日 志 的 整理 和 归档 。 


5. 安全 审计 分 析 


通过 对 日 志 进 行 分 析 , 发 现 所 需 事件 信息 和 规律 是 安全 审计 的 根本 目的 。 因 此 , 审 
计 分 析 十 分 重要 。 日 志 分 析 就 是 在 日 志 中 寻找 模式 ,主要 内 容 如 下 : 

1) 潜在 侵害 分 析 

日 志 分 析 应 能 用 一 些 规 则 去 监控 审计 事件 ,并 根据 规则 发 现 潜在 的 入侵 。 这 种 规则 
可 以 是 由 已 定义 的 ,可 审计 事件 的 子 集 所 指示 的 潜在 安全 攻击 的 积累 或 组 合 ,或 者 其 他 
规则 。 

2) 基于 异常 检测 的 轮廓 

日 志 分 析 应 确定 用 户 正常 行为 的 轮廓 ,当日 志 中 的 事件 违反 正常 访问 行为 的 轮廓 ， 
或 超出 正常 轮廓 一 定 的 门限 时 ,能 指出 将 要 发 生 的 威胁 。 

3) 简单 攻击 探视 

日 志 分 析 应 对 重大 威胁 事件 的 特征 有 明确 的 描述 , 当 这 些 攻击 现象 出 现时 ,能 及 时 
指出 。 

4) 复杂 攻击 探测 

要 求 高 的 日 志 分 析 系 统 还 应 能 检测 到 多 步 人 侵 序列 , 当 攻击 序列 出 现时 ,能 预测 其 
发 生 的 步骤 。 


6. 审计 事件 查阅 


由 于 审计 系统 是 追踪 恢复 的 直接 依据 ,甚至 是 司法 依据 ,因此 其 自身 的 安全 性 十 分 
重要 。 审 计 系统 的 安全 主要 是 查阅 和 存储 的 安全 。 

审计 事件 的 查阅 应 该 受到 严格 的 限制 ,不 能 算 改 日 志 。 通 常 通过 以 下 不 同 的 层次 保 
证 查阅 的 安全 。 

1) 审计 查阅 

审计 系统 以 可 理解 的 方式 为 授权 用 户 提供 查阅 日 志和 分 析 结 果 的 功能 。 

2) 有 限 审 计 查 阅 

审计 系统 只 能 提供 对 内 容 的 读 权限 ,因此 应 拒绝 具有 读 以 外 权限 的 用 户 访问 审计 
系统 。 

3) 可 选 审计 查阅 

在 有 限 审计 查阅 的 基础 上 限制 查阅 的 范围 。 


7. 审计 事件 存储 

审计 事件 的 存储 也 有 安全 要 求 , 具 体 有 如 下 几 种 。 

1) 受 保护 的 审计 踪迹 存储 

即 要 求 存储 系统 对 日 志 事 件 具 有 保护 功能 ,防止 未 授权 的 修改 和 删除 ,并 具有 检测 
修改 /删除 的 能 力 。 
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2) 审计 数据 的 可 用 性 保证 

在 审计 存储 系统 遭受 意外 时 ,能 防止 或 检测 审计 记录 的 修改 ,在 存储 介质 存 满 或 存 
储 失败 时 ,能 确保 记录 不 被 破坏 。 

3) 防止 审计 数据 丢失 

在 审计 踪迹 制 超过 预定 的 门限 时 ,应 采取 相应 的 措施 防止 数据 丢失 。 这 种 措施 可 以 
是 忽略 可 审计 事件 、 只 允许 记录 有 特殊 权限 的 事件 、 覆 盖 以 前 记录 停止 工作 。 


43 应 用 实例 : RSA 复 法 的 应 用 


431 信息 加 密 技术 


对 于 公开 密 钥 加 密 体制 的 RSA 算法 ,可 以 用 下 述 步骤 进行 算法 的 通俗 描述 。 

第 1 步 ,给 出 两 个 任意 的 大 素数 p,g。 

第 2 步 ,计算 : n=pXg ,p(n)= (p 一 1)X(g 一 1)。 

第 3 步 , 取 一 个 素数 e, 满 足 1 二 e 二 p(n) ,并 且 与 p(n) 互 质 。 

第 4 步 ,计算 d 值 : 4 一 (CCz)Xs 十 1)/e, 取 s 王 1.2,3…*d 必须 是 整数 且 小 于 p(z) 。 

第 5 步 ,如 果 exd mod g(n) 二 1 转 第 6 步 ,否则 转 第 3 步 , 另 取 一 个 e 值 ,重新 计算 
d 值 。 
第 6 步 ,输出 e,d。(e,n) 为 公开 密 钥 ,(d,n) 为 私有 密 钥 。 
例 4-7 RSA 算法 加 /解密 的 应 用 。 设 要 将 明文 已 =2 用 发 送 方 的 私有 和 密 钥 进行 加 
密 后 传送 给 对 方 ,对 方 在 收 到 密 文 C 后 ,再 用 发 送 方 的 公开 密 钥 进行 解密 。 设 发 送 方 用 
以 计算 密 钥 的 两 个 素数 是 p 二 3, q 一 7。 

第 1 步 ,n= pXg=3X7=21, pg(n)= (p—1)X(g—1)=2X6=12 

第 2 步 , 取 e=5 (这 里 的 e 满 足 1 一 ec 一 p(z) ,并且 与 g(n) 互 质 ) 

第 3 步 ,计算 d 值 : d 一 (12Xs 十 1)/5 

当 s=2 时 ,d=(12X2 十 1)/5=25/5=5 

第 4 步 ,验证 : eXd mod p(z) 一 25 mod 12 一 1。 

发 送 方 的 加 密 过 程 : C=P* mod 一 C=25 mod 21 ~ C=32 mod 21 一 11 

接收 方 的 解密 过 程 : P=C* mod n 一 P=115 mod 21 -~ P=161 051 mod 21 一 2 


432 数字 签名 技术 


1. 数字 签名 技术 


日 常生 活 中 的 信件 或 文件 是 根据 亲笔 签名 和 印鉴 来 识别 和 证 明 其 身份 真实 性 的 。 
但 在 计算 机 网 络 中 ,传输 的 文件 又 是 如 何 进行 身份 识别 和 认定 的 呢 ? 这 就 是 本 节 所 要 介 
绍 的 数字 签名 。 数 字 签 名 技术 在 身份 认定 中 ,特别 是 电子 商务 中 有 着 广泛 的 应 用 前 景 。 

数字 签名 必须 保证 做 到 以 下 3 点 。 

。 接收 者 能 够 核实 发 送 者 对 报 文 的 签名 。 
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。 发 送 者 事后 不 能 抵赖 对 报 文 的 签名 。 

。 接收 者 不 能 伪造 对 报 文 的 签名 。 

当前 ,有 多 种 数字 签名 技术 ,最 常用 的 有 “RSA 加 密 算法 签名 技术 ”、“DSS 数字 签名 
标准 技术 ”“ElGamal 数字 签名 技术 ”。 在 这 里 介绍 的 是 “RSA 数字 签名 技术 ”。 

使 用 公开 密 钥 加 密 算法 (RSA) 进 行 数字 签名 的 步骤 如 下 : 

发 送 者 用 其 公开 密 钥 对 中 的 解密 密 钥 (秘密 密 钥 )SKA 对 报 文 P 进行 解密 运算 ( 事 
实 上 是 加 密 运算 ) ,并 将 其 运算 结果 C 二 DskACP) (数字 签名 ) 传 送 给 接收 者 B。 接 收 者 B 
收 到 人 发 来 的 数字 签名 C 二 Dska(P) 后 ,使 用 A 公开 的 加 密 密 钥 PKA 对 其 进行 解密 运 
算 , 即 : 

P= Depra(C)= DekACDskACP)) 

因为 除 A 以 外 ,没有 人 知道 A 的 解密 密 钥 SKA, 所 以 除了 A 以 外 ,没有 人 能 生产 密 
文 Dsks(P)。 这 样 ,接收 方 B 就 能 据 此 来 鉴别 发 送 者 A 的 身份 , 即 相 信 报 文 P 是 A 的 数 
字 签 名 后 发 送 的 。 

数字 签名 技术 如 图 4-18 所 示 。 


r r 
! 发 送 者 A | | 接收 者 B 1 
1 | 1 

明文 有 本 | Doxa(P) | EB 1 1 明文 
1 _ 1 1 
WW | | 
1 SKA PKA | 
1 用 秘密 密 铀 1 用 公开 密 钥 | 
| 进行 签名 1 ! 


实 签名 
于 地 逢 sami 


图 4-18 RSA 算法 数字 签名 技术 


2. 抗 赖 技术 


为 了 进行 抗 赖 服务 ,第 三 方 权威 机 构 必 须 对 所 有 用 户 的 公开 密 钥 进 行 登记 存档 ,以 
便 作为 抗 赖 服务 的 依据 ,第 三 方 权威 机 构 就 像 我 们 日 常生 活 中 的 法 院 一 样 ,是 以 事实 为 
依据 进行 鉴别 的 。 

经 过 上 述 签名 后 ,车 A 要 抵赖 曾经 给 B 发 送 过 的 报 文 ,B 可 将 明文 已 及 数字 签名 
Dsra(P) 出 示 给 第 三 方 权威 机 构 。 第 三 方 很 容易 用 PKA 去 证 实 已 确实 是 A 发 送 给 B 
的 。 反 之 ,车 BB 将 P 伪造 成 P', 则 B 不 能 在 第 三 方 权 威 机 构 面前 提供 与 Dsra(P) 相同 的 
Dska(P')。 这 样 就 证 明了 B 伪造 了 报 文 。 由 此 可 见 ,实现 数字 签名 也 同时 实现 了 对 报 文 
来 源 的 鉴别 。 

上 述 过 程 仅 对 报 文 进行 了 签名 ,但 对 报 文 已 本 身 却 未 能 保密 。 因 为 凡是 能 截获 到 密 
文 DskACP) 并 知道 发 送 者 身份 的 任何 人 ,通过 上 网 查阅 用 户 名 册 , 即 可 获得 发 送 者 的 公 
开 密 钥 PKA, 便 可 轻松 地 对 DskA(CP) 进 行 解密 ,从 而 能 理解 消息 的 内 容 。 

解决 这 一 问题 的 关键 在 于 ,要 对 报 文 进 行 二 次 加 密 。 具 体 加 密 步 又 是 ,首先 发 送 方 
用 自身 的 秘密 密 钥 SKA 对 报 文 进行 数字 签名 ,产生 数字 签名 密 文 DsksA(CP) ,然后 再 用 报 
文 接收 者 B 的 公开 密 钥 PKB 对 DskA(CP) 进 行 二 次 加 密 , 形 成 密 文 Epks (Dsxa (P)) ,之 后 
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再 发 送 给 B。B 收 到 密 文 Eprsp (Dsra(P)) 后 , 先 用 自身 的 秘密 密 钥 SKB 对 其 进行 解密 ,再 
用 A 的 公开 密 钥 PKA 核实 数字 签名 ,如 图 4-19 所 示 。 


SKB PKA 
和 分 闻 为 公 和 居中 用 秘密 密 钥 。 用 公章 密 负 
L 进行 解密 核实 等 名 | 


图 4-19 RSA 数字 签名 技术 


=EpkB(DskA(P) 
| | 接收 者 B | 
! | 
过 1 [oaw Ts | Xe 
图 中 PKA 和 PKB 分 别 为 | “二 f 
A 和 B 的 公开 密 钥 ,SKA | 
I 
' 


由 于 第 三 方 无 法 获得 B 的 秘密 密 钥 SKB, 即 使 第 三 方 窃取 了 密 文 Epxs (Dsxa (P))， 
并 知道 A、B 双方 的 公开 密 钥 PKA 和 PKB, 仍 然 是 无 法 对 Eprs (Dska(P)) 进 行 解密 。 这 
就 保证 了 数字 签名 的 保密 性 和 可 行 性 。 
例 4-8 数字 签名 实例 。 
设 用 户 A( 用 户 身份 代号 为 2): 取 p= 二 3,g= 二 11,n 二 33,9(n) 二 20,e 二 3,d 二 7 
PKA=(3,33), SKA=(7,33) 
用 户 B( 用 户 身 份 代号 为 3): 取 p=5,g==11,n 二 55,9(n) 二 40,e 二 7,d 二 23 
PKB=(7,55), SKB=(23,55) 
人 A 方 : 数字 签名 并 加 密 ( 用 户 A 的 代号 为 2, 数 字 2 即 是 A 的 身份 ) 。 
C= Ep (Dsxa (P))= Ems(2’ mod 33)= Eee(29) 
一 297 mod 55 一 39 
B 方 : 先 解密 再 进行 签名 核实 。 
P= DeA(Dam(C)) = DekA(392 mod 55) = DexA(29) 
=29 mod 33 一 2 


3. 数字 证 书 和 公 钥 基础 设施 (PKD 


数字 证 书 就 是 网 络 通信 中 标志 通信 各 方 身 份 信息 的 一 系列 数据 ,其 中 包括 本 人 的 公 
开 密 钥 。 数 字 证 书 是 由 一 个 权威 机 构 发 行 的 , 它 类 似 于 现实 生活 中 的 身份 证 。 一 个 数字 
证 书 由 3 部 分 组 成 : 

。 公开 密 钥 。 

。 证 书信 息 ( 用 户 的 身份 ) 。 

。 一 个 或 多 个 数字 签名 。 

对 证 书 进行 发 行 、 存 储 、 查 询 的 结构 化 系统 叫 公 钥 基 础 设施 PKI(Public Key Infra- 
structures) ,PKI 通过 一 个 权威 的 认证 中 心 CA(Certification Authority) 去 发 行 数字 证 
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书 ,CA 认证 中 心 是 PKI 的 核心 。 
433 数字 信封 技术 


由 于 公开 和 密 钥 加 密 体制 的 加 密 和 人 解密 速度 慢 , 在 实际 应 用 中 ,除了 数字 签名 以 外 ,很 
少 用 公开 和 密 钥 算法 来 加 密 数据 。 通 常 是 用 对 称 密 钥 来 加 密 数 据 , 而 用 公开 密 钥 算 法 来 加 
密 对 称 加 密 算法 的 密 钥 ,这 就 是 本 小 节 要 介绍 的 “数字 信封 技术 ”。 

数字 信封 技术 是 用 来 保证 数据 在 传输 过 程 中 的 安全 。 传 统 的 对 称 加 密 方法 的 算法 
运算 效率 高 ,但 是 密 钥 不 适合 通过 公共 网 络 传送 ,而 非 对 称 加 密 算 法 的 密 钥 传送 简单 ,但 
加 密 算 法 的 运算 效率 低 。 数 字 信 封 技术 则 是 将 传统 的 对 称 加 密 算法 与 现代 的 非 对 称 加 
密 算法 (公开 密 钥 加 密 算法 ) 结 合 起 来 ,充分 利用 了 对 称 加 密 算法 的 高 效 性 和 大 量 对 称 加 
密 算 法 的 灵活 性 ,以 保证 信息 在 传输 过 程 中 的 安全 性 。 图 4-20 给 出 了 数字 信封 技术 的 工 
作 流程 。 


图 4-20 数字 信封 技术 的 工作 流程 图 


从 图 4-20 中 可 看 出 ,在 数字 信封 技术 中 需要 两 个 不 同 的 加 密 解 密 过 程 ,数据 本 身 的 
加 密 和 解密 、 密 钥 的 加 密 和 解密 。 首 先 .使 用 的 是 对 称 加 密 算法 对 需 发 送 的 数据 进行 加 
密 ,然后 再 利用 非 对 称 加 密 算法 对 对 称 加 密 的 密 钥 进行 加 密 和 解密 。 其 加 密 解密 过 程 
如 下 : 

第 1 步 , 在 需要 发 送信 息 时 ,发 送 方 生成 一 个 对 称 密 钥 。 

第 2 步 , 发 送 方 使 用 一 个 对 称 加密 的 密 钥 和 算法 对 需 发 送 的 数据 进行 加 密 ,形成 加 
密 的 数据 密 文 。 

第 3 步 , 发 送 方 使 用 接收 方 提供 的 公开 密 钥 ,对 发 送 方 的 对 称 密 钥 进 行 加 密 。 

第 4 步 ,发 送 方 通过 网 络 将 加 密 后 的 密 文 和 加 密 后 的 对 称 密 钥 传输 给 接收 方 。 

第 5 步 ,接收 方 用 自身 的 私有 密 钥 对 接收 到 的 对 称 密 钥 进行 解密 ,得 到 对 称 密 钥 。 
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第 6 步 ,接收 方 使 用 解密 后 的 对 称 密 钥 对 数据 密 文 进行 解密 ,得 到 明文 数据 。 

数字 信封 技术 使 用 的 是 两 层 加 密 体制 ,在 内 层 利用 了 对 称 加 密 技术 ,每 次 传送 的 信 
息 都 可 以 重新 生成 新 的 密 钥 ,保证 信息 的 安全 性 ,在 外 层 , 利 用 非 对 称 加 密 技术 加 密 对 称 
密 钥 , 保 证 了 密 钥 传 送 的 安全 性 。 


434 身份 认证 技术 


身份 认证 是 信息 安全 理论 的 重要 组 成 部 分 。 以 密码 理论 为 基础 的 身份 认证 是 访问 
控制 和 审计 的 前 提 , 因 此 对 网 络 环境 下 的 信息 安全 尤其 重要 。 本 节 重 点 讲述 身份 认证 的 
作用 、 原 理 和 实现 技术 。 

认证 协议 按照 认证 的 方向 可 以 分 为 双向 认证 协议 和 单 向 认证 协议 ,按照 使 用 的 密码 
技术 可 以 分 为 基于 对 称 密码 的 认证 协议 和 基于 公 钥 密码 的 认证 协议 。 


1. 双向 认证 协议 


双向 认证 就 是 使 通信 双方 确认 对 方 的 身份 ,适用 于 通信 双方 同时 在 线 的 情况 。 

1) 基于 对 称 密码 的 双向 认证 协议 

Needham/Schroeder 是 一 个 基于 对 称 加 密 算 法 的 协议 , 它 要 求 有 可 信任 的 第 三 方 
KDC( 密 钥 分 配 中 心 ) 参 与 ,采用 Challenge/Response( 提 问 /应 答 ) 的 方式 ,使 得 A.B 互 相 
认证 对 方 的 身份 。 协 议 过 程 是 : 

第 1 步 ,A~~KDC: IDA | IDs Ni。 

第 2 步 ,KDC—>A: Eu[ks 1 IDs | Ni | Eu[Ks IIDA]]。 

第 3 步 ,A 一 B: Eu[ks | IDA]。 

第 4 步 ,B>A: Es[N;]。 

第 5 步 ,A 一 B: Eu[FCN:)]。 

其 中 ,KDC 是 密 钥 分 发 中 心 ;IDA 表 示 A 身份 的 唯一 标识 、IDs 表 示 B 身份 的 唯一 标 
识 ; 密 钥 Ka 和 Kb 分别 是 A 与 KDC.、B 与 KDC 之 间 共 享 的 密 钥 ;N, 和 N; 是 两 个 nonce 
(现时 值 ): f(N) 是 对 N 进行 一 个 运算 ,比如 FCN) 王 六 二 1。 本 协议 的 目的 是 认证 A 和 
B 的 身份 后 ,安全 地 分 发 一 个 会 话 密 钥 Ks 给 A 和 B。 

说 明 : 

第 1 步 ,A 向 KDC 申请 要 和 B 通信 的 申请 要 求 。 

第 2 步 ,A 安全 地 得 到 了 一 个 新 的 会 话 密 钥 ks。 

第 3 步 ,A 用 B 方 的 公开 密 钥 加 密会 话 密 钥 ks 和 A 的 身份 标识 IDA( 数 字 签 名 ) ,这 
条 消息 只 能 由 也 解密 并 理解 ,B 也 获得 会 话 密 钥 。 

第 4 步 ,B 相信 了 人 的 身份 后 ,用 对 称 密 钥 Ks 加 密 一 个 现时 值 N, 发 送 给 和, 即 B 告 
诉 人 已 知道 正确 的 Ks, 从 而 证 明了 B 的 身份 。 

第 5 步 ,A 对 BB 发 来 的 Ee[Ns] 进 行 解密 :证 明 B 的 身份 后 ,再 给 B 发 送 一 条 确认 信 
息 。 之 后 ,双方 就 可 以 通信 了 。 

第 4.5 两 步 的 目的 是 为 了 防止 某 种 类 型 的 重 放 攻 击 ,特别 是 如 果 攻 击 方 能 够 在 第 3 
步 捕获 该 消息 并 进行 重 放 , 这 将 在 某 种 程度 上 干扰 破坏 B 方 的 运行 操作 。 
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由 于 除了 KDC 之 外 只 有 A 知道 Ka, 也 只 有 B 知道 Kb, 所 以 双方 都 可 以 向 对 方 证 明 
自己 的 身份 。 

但 是 ,这 个 协议 仍然 有 漏洞 。 假 定 攻击 方 C 已 经 掌握 A 和 B 之 间 通 信 的 一 个 老 的 
会 话 密 钥 ,C 可 以 在 第 3 步 骨 充 A, 利 用 老 的 会 话 密 钥 欺骗 B。 除 非 B 记 住所 有 以 前 使 用 
的 与 A 通信 的 会 话 密 钥 ,否则 B 无 法 判断 这 是 一 个 重 放 攻击 。 然 后 ,如 果 C 可 以 中 途 阻 
止 第 4 步 的 握手 信息 则 可 以 冒充 A 在 第 5 步 响应 。 从 这 一 点 起 C 就 可 以 向 B 发 送 伪造 
的 消息 ,而 B 认为 是 在 与 A 进行 正常 的 通信 。 

为 解决 这 一 问题 ,Deming 结合 了 时 间 截 的 方法 ,对 会 话 协议 的 算法 进行 了 改进 。 

第 1 步 ,A 一 KDC: IDA | IDs。 

第 2 步 ,KDC>A: Es[ks IDs TI Ew [Ks ID, I NJ], 

第 3 步 ,A>B: Eu[ks | IDA | TJ]。 

第 4 步 ,BA: Eue[Ni]。 

第 5 步 ,A 一 B: Eu[FCN)]。 

| Clock—T|<An+tAt 
其 中 ,T 是 时 间 惟 ;Ati 是 KDC 时 钟 与 本 地 时 钟 (发 送 方 A 所 在 地 ) 之 间 差 异 的 估计 值 ; 
Ats 是 预期 的 网 络 延 迟 时 间 。 

如 果 发 送 者 的 时 钟 比 接收 者 的 时 钟 要 快 ,攻击 者 就 可 以 从 发 送 者 处 窃听 消息 ,并 等 
待 时 间 截 对 接收 者 来 说 成 为 当前 时 刻 时 重 放 给 接收 者 ,这 种 重 放 将 会 得 到 意 想不到 的 后 
果 。 这 一 类 型 的 重 放 攻击 又 称 * 抑 制 重 放 攻击 ”。 

2) 基于 公 钥 密码 的 双向 认证 协议 

使 用 公 钥 密码 算法 ,可 以 克服 基于 对 称 密码 的 认证 协议 中 的 一 些 问题 。 但 同样 需要 
有 可 信和 的 第 三 方 参与 , 现 以 WOO92b 协议 为 例 加 以 说 明 如 下 : 

第 1 步 ,A 一 KDC: IDA | 1Ds。 

第 2 步 ,KDC>A: Exp [IDs || KUw]。 

第 3 步 ,A>B: Ekus[LN, | IDA]。 

第 4 步 ,B->KDC: IDs | IDA | Exkuwa[CN。]。 

第 5 步 ,KDC—>B: Ekgsws[LIDa | KU。] | Exws [Err LN, | Ks || IDA | IDs]]。 

第 6 步 ,B>A: Exus[LEkrww LN, | Ks | IDA | IDs | No]]。 

第 7 步 ,A-~B: E,[N,]。 

其 中 ,KUa 是 A 的 公 钥 ,KRa 是 A 的 私 钥 .KUauth 是 KDC 的 公 钥 ,KRauth 是 
KDC 的 私 钥 。 

说 明 

第 1 步 ,A 向 KDC 提出 要 与 B 通 信 的 要 求 。 

第 2 步 ,A 从 KDC 得 到 B 的 公 钥 。 

第 3 步 ,A 向 B 提 出 通信 要 求 ,信息 中 包含 一 个 现时 信息 N,。 

第 4 步 ,B 向 KDC 询问 人 A 的 公 钥 。 

第 5 步 ,B 得 到 人 A 的 公 钥 和 一 段 KDC 签名 的 消息 。 

第 6 步 ,B 将 这 段 消息 和 现时 N, 发 给 A,A 在 KDC 签名 的 消息 中 找到 N, ,确认 这 
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不 是 一 个 重 放 。 

第 7 步 ,A 使 用 刚 得 到 的 会 话 密 钥 回答 B。 

在 协议 中 ,A 和 B 都 向 KDC 索取 对 方 的 公 钥 , 如 果 对 方 能 正确 解密 用 其 公 钥 加 密 的 
消息 ,就 能 够 证 明 对 方 的 身份 。 


2. 单 向 认证 协议 


大 多 数 单 向 认证 的 应 用 是 不 需要 双方 同时 在 线 的 ,一 方 在 向 另 一 方 证 明 自 己 的 身份 
的 同时 , 即 可 发 送 数据 ;对 方 收 到 身份 认证 消息 及 其 数据 后 ,首先 验证 发 送 方 的 身份 ,如 
果 身 份 有 效 , 则 可 以 接收 数据 ,否则 拒绝 接收 。 

1) 基于 双方 在 线 的 单 向 认证 协议 

单 向 认证 协议 中 只 有 一 方向 另 一 方 证 明 自己 的 身份 ,因此 过 程 一 般 都 相对 简单 。 下 
面 是 一 个 不 需要 第 三 方 的 基于 对 称 密码 的 单 向 认证 协议 ,要 求 A 和 B 事先 拥 有 共享 
密 钥 。 

第 1 步 ,A 一 B: IDA | Ni。 

第 2 步 ,B-~A: Ekw[Ks | IDs 1 fCN) 1 No:]。 

第 3 步 ,A-~B: Eu[F(CN:)]。 

说 明 : 

第 1 步 ,A 将 自己 的 身份 IDA 和 一 个 一 次 性 随机 数 Ni Cnonce) 发 给 B, 希 望 和 B 建立 
通信 连接 。 

第 2 步 ,B 生成 一 个 会 话 密 钥 Ks, 连 同 对 Anonce 应 答 和 一 个 新 的 nonce, 一 起 用 双 
方 的 共享 密 钥 加 密 后 发 给 A。 

第 3 步 ,A 对 B 发 过 来 的 现时 值 进行 解密 ,并 验证 B 的 身份 , 当 B 的 身份 得 到 确认 
后 ,A 计算 出 第 二 个 nonce 的 应 答 , 用 Ks 加 密 后 发 给 B,B 收 到 后 如 果 能 正确 解密 出 应 
答 , 则 说 明 A 的 身份 是 可 信 的 ,因为 只 有 A、B 双方 拥有 共享 密 钥 Kab。 之 后 ,A 即 可 向 B 
发 送 数据 。 

2) 基于 KDC 的 单 向 认证 协议 

上 述 方案 的 缺点 是 双方 必须 同时 在 线 .不 适合 于 单方 在 线 的 情况 。 基 于 第 三 方 ( 密 
钥 分 配 中 心 KDC) 的 应 答 方案 可 以 有 效 地 解决 这 一 问题 ,第 三 方 一 般 是 长 期 在 线 的 、 双 方 
信赖 的 权威 机 构 。 

第 1 步 ,A 一 KDC: IDs 上 IDs 1 Ni。 

第 2 步 ,KDC->A: Ex,[Ks IDs | Ni | EeeLKs 1 IDA]]。 

第 3 步 ,A-~B: Eee[Ks | IDA] | Ee[CM)]。 

说 明 : 

第 1 步 ,A 向 KDC 要求 和 B 通 信 , 同 时 发 给 KDC 一 个 nonce。 

第 2 步 ,KDC 发 给 A 一 个 用 A 的 密 钥 加 密 的 消息 ,包括 一 个 会 话 密 钥 Ks、A 发 送 的 
nonce, 一 段 用 B 的 密 钥 加 密 的 消息 ;同时 A 解密 得 到 Ks。 

第 3 步 ,.A 将 用 B 的 密 钥 加 密 的 那 段 消息 和 用 Ks 加 密 的 数据 一 起 发 送 给 B;B 收 到 
后 首先 解密 得 到 A 的 身份 标识 Ks, 然 后 就 可 以 解密 人 发 来 的 数据 了 。 
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这 种 方案 的 好 处 在 于 不 要 求 B 同时 在 线 ,其 缺点 是 不 能 防止 重 放 攻 击 , 因 在 第 3 步 
中 ,B 收 到 消息 后 不 能 确认 这 一 消息 是 人 发 送 的 消息 还 是 重 放 的 消息 。 

3) 基于 公 钥 的 单 向 身份 认证 协议 

基于 公 钥 的 单 向 身份 认证 协议 非常 简单 , 基 认 证 过 程 只 要 一 个 步骤 。 

A>B: Exw[Ks] | EkeLM | Err [HOM)J]. 

这 种 方案 要 求 A 和 B 互相 知道 对 方 的 公 钥 。 首 先 ,入 用 B 的 公 钥 加 密 一 个 会 话 密 
钥 , 然 后 A 用 会 话 密 钥 加 密 数据 和 用 自己 私 钥 签 名 的 消息 摘要 ,A 将 这 些 内 容 一 起 发 送 
给 B。B 收 到 后 ,首先 用 自己 的 私 钥 解 密 出 会 话 密 钥 , 然 后 解密 消息 和 A 的 签名 ,最 后 计 
算出 消息 摘要 以 验证 A 的 签名 ,从 而 确定 A 的 身份 。 


习 题 4 


一 、 概 念 题 


1. 信息 安全 的 目标 是 什么 ? 

2. 保护 信息 机 密 性 的 含义 是 什么 ? 

3。 抗 否认 服务 的 含义 是 什么 ? 如 何 实现 抗 否认 服务 ? 

4. 访问 控制 的 目的 是 什么 ? 

5. 单 表 代 换 密码 ,多 表 代 换 密码 ,多 字母 密码 代 换 的 含义 是 什么 ? 它们 之 间 有 什么 


6. 分 组 密码 加 密 算法 和 流 密 码 加 密 算法 有 何 区 别 ? 

7. 消息 摘要 算法 的 基本 思想 是 什么 ? 其 目的 是 什么 ? 

8. 公开 密 钥 加 密 体制 和 对 称 密 钥 加 密 体制 各 自 的 加 密 /解密 思想 是 什么 ? 

9. 公开 密 钥 体 制 具有 什么 样 的 特点 ? 

10. 访问 控制 策略 是 什么 ? 

11. 访问 控制 一 般 包 括 哪些 类 型 ? 

12. 安全 审计 过 程 由 哪儿 个 部 分 组 成 ? 

13. 数字 签名 应 具有 哪些 特点 ? 

14. RSA 算法 的 用 途 是 什么 ? 

二 、 计算 及 程序 设计 题 

1. 设 a~z 的 编号 为 01 一 26, 空 格 为 27, 采 用 Kaesar 密码 方案 ,算法 C= 有 M 十 ks， 
取 妈 二 3,ks 二 5,M 二 Peking University, 计 算 密 文 C。 

2. 设 a 一 z 的 编号 为 1 一 26, 空 格 为 27, 采 用 Vigenere 密码 方案 , 密 钥 长 度 与 消息 相 
同 , 给 出 密 文 : 

ANKYODKYUREPFJBYOJDSPLREYIUNOFDOIUERFPLUYTS 


分 别 找 出 对 应 下 列 两 组 明文 的 密 钥 : 
a) MR MUSTARD WITH THE CANDLESTICK IN THE HALL 
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b) MISS SCARLET WITH THE KNIFE IN THE LIBRARY 
密 钥 :a) OWKLULRXCNETXQUYVBZSMKDAMDBUFCTO GEYYKLMXHG 
b) OESFOLHXCF WFNTEGJDZHGRUK OIOXQOPM RUGJCXBU 
3. DES 算法 的 应 用 。 设 密 钥 为 “SECURITY”, 明文 为 “NETWORK INFORMATION 
SECURITY”, 用 DES 算法 编写 程序 计算 其 密 文 ,并 列 出 每 一 轮 的 中 间 结 果 。 
4. RSA 算法 计算 技巧 编程 。 计 算 17”mod 561 的 值 。 
5. RSA 算法 的 应 用 。 
设 p=3.g 二 5.M 二 2, 计 算出 ne.d, 并 将 明文 M 用 RSA 算法 加 密 和 解密 。 
6. 数字 签名 技术 的 应 用 。 
设 用 户 A 和 用 户 B 的 用 户 代号 分 别 为 101 和 102。 并 设 : 
用 户 A: p=11 g=17 
用 户 B: p=7 g=17 
计算 出 A、B 双方 的 公开 密 钥 和 秘密 密 钥 。 
用 户 A 用 其 自身 的 用 户 代号 (101) 作 为 身份 向 B 发 出 一 条 数字 签名 消息 ,要 求 用 
B 的 公开 密 钥 进 行 加 密 。 
对 该 数字 签名 进行 解密 和 身份 验证 。 
要 求 先 写 出 数字 签名 和 身份 验证 的 过 程 ,再 编制 程序 运算 。 
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本 章 着 重 介 绍 在 计算 机 网 络 通信 过 程 中 的 拥塞 控制 技术 流量 控制 技术 、 差 错 控制 
技术 ,数据 传输 技术 及 网 络 死 锁 的 防范 处 理 技术 。 


51 拥塞 控制 与 流量 控制 


网 络 过 载 , 会 造成 网 络 拥塞 ,影响 网 络 通 信和 效率, 严重 时 ,会 造成 网 络 瘫痪 。 因 此 , 必 
须 对 网 络 流量 进行 有 效 的 控制 。 


511 网 络 拥塞 的 基本 概念 


当 加 载 到 某 个 网 络 上 的 载荷 超过 其 处 理 能 力 时 ,就 会 出 现 拥塞 现象 。 

拥塞 现象 应 用 物理 层 的 规则 便 可 以 得 到 控制 ,这 个 规则 即 分 组 保持 规则 。 就 是 只 有 
当 一 个 旧 的 分 组 被 发 送出 去 后 再 向 网 络 注入 新 的 分 组 。TCP 试图 通过 动态 地 控制 滑动 
窗口 的 大 小 达到 这 一 目的 。 

控制 拥塞 首先 要 做 的 是 检测 。 分 组 丢失 而 造成 超时 有 两 个 原因 ,一 个 是 由 于 传输 线 
路 上 的 噪声 干扰 ; 另 一 个 是 拥塞 的 路 由 器 丢失 分 组 。 

由 于 传输 错误 造成 分 组 丢失 的 情况 相对 较 少 ,因为 大 多 数 长 距离 的 主干 线 都 是 光 
纤 。 因 此 ,Internet 上 发 生 的 超时 现象 大 多 数 都 是 由 于 拥塞 造成 的 。Internet 上 所 有 的 
TCP 算法 都 假设 分 组 传输 超时 是 由 拥塞 造成 的 ,并 且 以 监控 定时 器 超时 作为 出 现 问题 的 
信号 。 

当 数据 从 一 个 大 的 管道 向 一 个 较 小 的 管道 (比如 一 个 是 高 速 局 域 网 而 另 一 个 是 低速 
的 广域网 ) 发 送 数据 时 便 会 发 生 拥塞 。 当 多 个 输入 流 到 达 一 个 路 由 器 ,而 路 由 器 的 输出 
流 小 于 这 些 输入 流 的 总 和 时 也 会 发 生 拥 塞 。 

通过 上 述 分 析 可 知 ,网 络 产生 拥塞 的 根本 原因 在 于 用 户 提供 给 网 络 的 负载 超过 了 网 
络 的 存储 和 处 理 能 力 ,表现 为 无 效 数据 包 增 加 、 报 文 时 延 增加 与 报 文 丢失 、 服 务 质 量 降 低 
等 。 如 果 不 能 采取 有 效 的 检测 和 控制 手段 ,就 会 导致 拥塞 逐渐 加 重 , 甚 至 造成 系统 崩 演 ， 
在 一 般 情况 下 形成 网 络 拥塞 的 三 个 直接 原因 如 下 : 

。 路 由 器 存储 空间 不 足 。 几 个 输入 数据 流 需 要 同一 个 输出 端口 ,如 果 和 人 口 速率 之 和 
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大 于 出 口 速率 ,就 会 在 这 个 端口 上 建立 队列 。 如 果 没 有 足够 的 存储 空间 ,数据 包 
就 会 被 丢弃 ,对 突 发 数据 流 更 是 如 此 。 增 加 存储 空间 在 表面 上 似乎 能 解决 这 个 予 
盾 , 有 研究 表明 ,如 果 路 由 器 有 无 限 存储 量 时 ,拥塞 只 会 变 得 更 坏 , 这 是 因为 ,该 路 
由 器 缓冲 区 中 将 会 有 越 来 越 多 的 数据 包 在 排队 而 无 法 传送 出 去 。 

带宽 容量 相对 不 足 。 直 观 地 说 , 当 数 据 总 的 输入 带宽 大 于 输出 带宽 时 ,在 网 络 低 
速 链 路 处 就 会 形成 带宽 瓶颈 ,网 络 就 会 发 生 拥塞 ,相关 证 明 可 参考 香农 信息 理论 
的 有 关 资 料 。 

处 理 器 处 理 能 力 较 弱 。 如 果 路 由 器 的 CPU 在 执行 排队 缓存 ,更 新 路 由 表 等 操作 
时 ,处 理 速度 跟 不 上 高 速 链 路 ,会 产生 拥塞 。 同 理 , 低 速 链 路 对 高 速 处 理 器 也 会 产 
生 拥 塞 。 
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1. 慢 启动 算法 


综 上 所 述 , 在 Internet 上 存在 网 络 的 容量 和 接收 方 的 容量 两 个 潜在 问题 ,它们 需要 
分 别 进行 处 理 。 为 此 ,每 个 发 送 方 均 保持 两 个 窗口 ,接收 方 承 认 的 窗口 和 拥塞 窗口 。 每 
个 窗口 都 反映 出 发 送 方 可 以 传输 的 字 节 数 。 取 两 个 窗口 的 最 小 值 作为 可 以 发 送 的 字 节 
数 。 这 样 ,有 效 窗口 便 是 发 送 方 和 接收 方 分 别 认为 合适 的 窗口 中 最 小 的 一 个 窗口 。 

当 建 立 连接 时 ,发 送 方 将 拥塞 窗口 大 小 初始 化 为 该 连接 所 有 最 大 报 文 段 的 长 度 值 ， 
并 随后 发 送 一 个 最 大 长 度 的 报 文 段 。 如 果 该 报 文 段 在 定时 器 超时 之 前 得 到 了 确认 ,那么 
发 送 方 在 原 拥塞 窗口 的 基础 上 再 增加 一 个 报 文 段 的 字 节 值 , 使 其 为 两 倍 最 大 报 文 段 的 大 
小 ,然后 发 送 。 当 这 些 报 文 段 中 的 每 一 个 都 被 确认 后 ,拥塞 窗口 大 小 就 再 增加 一 个 最 大 
报 文 段 的 长 度 。 

当 拥塞 窗口 是 N 个 报 文 段 的 大 小 时 ,如 果 发 送 的 所 有 N 个 报 文 段 都 被 及 时 确认 , 那 
么 将 拥塞 窗口 大 小 增加 N 个 报 文 段 所 对 应 的 字 节 数目 。 

拥塞 窗口 保持 指数 规律 增 大 ,直到 数据 传输 超时 或 者 达到 接收 方 设 定 的 窗口 大 小 。 
也 就 是 说 ,如 果 发 送 的 数据 长 度 序列 ,如 1024、2048 和 4096 字 节 都 能 正常 工作 ,但 发 送 
8192 字 节 数据 时 出 现 定时 器 超时 ,那么 拥塞 窗口 应 设置 为 4096 以 避免 出 现 拥塞 。 只 要 
拥塞 窗口 保持 为 4096 字 节 , 便 不 会 再 发 送 超过 该 长 度 的 数据 量 ,无 论 接收 方 赋予 多 大 的 
窗口 空间 亦 是 如 此 。 这 种 算法 是 以 指数 规律 增加 的 ,通常 称 为 慢 启动 算法 。 所 有 的 TCP 
实现 都 必须 支持 这 种 算法 。 

慢 启 动 算法 工作 过 程 如 下 : 

慢 启 动 为 发 送 方 的 TCP 增加 了 一 个 窗口 , 即 拥塞 窗口 。 当 与 另 一 个 网 络 的 主机 建 
立 TCP 连接 时 ,拥塞 窗口 被 初始 化 为 1 个 报 文 段 ( 即 另 一 端 通告 的 报 文 段 大 小 )。 每 收 
到 1 个 ACK ,拥塞 窗口 就 增加 1 个 报 文 段 (拥塞 窗口 以 字 节 为 单位 .但 是 慢 启动 以 报 文 段 
大 小 为 单位 进行 增加 ) 。 发 送 方 取 拥塞 窗口 与 接收 方 窗口 中 的 最 小 值 作为 发 送 上 限 。 拥 
塞 窗口 是 发 送 方 使 用 的 流量 控制 ,而 接收 方 窗口 则 是 接收 方 使 用 的 流量 控制 。 

在 某 些 点 上 可 能 达到 了 因特网 的 容量 ,于 是 中 间 路 由 器 开始 丢弃 分 组 ,并 通知 发 送 
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方 其 固有 的 拥塞 窗口 开 得 过 大 ,应 缩小 发 送 窗口 。 
2. 拥塞 避免 算法 


慢 启动 算法 不 能 解决 的 问题 是 ,数据 传输 达到 中 间 路 由 器 的 极限 时 ,分 组 将 被 丢弃 。 
拥塞 避免 算法 是 一 种 处 理 丢失 分 组 的 最 佳 方法 。 

该 算法 假定 由 于 分 组 受到 损坏 引起 的 丢失 是 极 少 的 ,因此 分 组 丢失 就 表明 在 源 主机 
和 目的 主机 之 间 的 某 处 网 络 上 发 生 了 拥塞 。 

常用 的 拥塞 避免 算法 如 下 : 

1) 先进 先 出 算法 (First In First Out,FIFO) 

传统 的 先进 先 出 策略 是 目前 Internet 上 使 用 最 广泛 的 一 种 服务 模型 。 它 的 最 大 优 
点 是 便于 实施 ,但 由 于 FIFO 本 质 上 是 一 种 “去 尾 ”(Drop-tail) 的 算法 ,所 以 当 突 发 性 数据 
到 达 时 容易 出 现 包 丢失 现象 ,其 公平 性 较 差 , 对 上 层 的 TCP 快速 恢复 的 效率 也 较 低 。 

2) 随机 早期 检测 算法 (Random Early Detection,RED) 

RED 算法 是 按 一 定 概率 丢弃 进入 路 由 器 的 数据 包 。RED 的 早期 设计 思路 是 避免 丢 
弃 属 于 同一 连接 的 连续 数据 包 , 从 而 提高 连接 的 吞吐 量 。 通 过 分 捧 包 丢失 率 ,RED 可 以 
在 各 连接 之 间 获 得 较 好 的 公平 性 ,对 突 发 业务 的 适应 性 较 强 。RED 也 存在 一 些 不 足 , 例 
如 可 能 会 引起 网 络 的 不 稳定 ,而 且 选 择 合适 的 配置 参数 也 不 是 一 件 容易 的 事 。 近 年 来 ， 
研究 者 提出 了 许多 RED 的 改进 算法 ,这 些 算法 都 在 一 定 程度 上 ,从 不 同方 面 改善 了 RED 
的 性 能 。 

3) 显示 拥塞 指示 算法 (Explicit Congestion Notification ,ECN) 

前 面 两 种 拥塞 控制 算法 都 是 通过 包 丢 失 来 告诉 端 系统 ,网 络 已 经 发 生 拥 塞 。 而 显示 
拥塞 指示 算法 通过 明确 的 拥塞 提示 (RFC2481) 来 实现 拥塞 控制 ,对 一 次 性 大 批量 数据 传 
输 的 效果 比较 理想 ,但 对 时 延 有 一 定 要 求 。 

该 算法 在 源 端 数据 包 中 嵌入 ECN ,由 路 由 器 根据 网 络 情况 设置 CE(Congestion Ex- 
perienced) 比特 位 。 源 端 接收 到 从 网 络 中 反馈 回来 的 这 种 CE 置 位 数据 包 后 ,将 随后 发 出 
的 数据 包 标 记 为 可 丢弃 的 数据 包 。ECN 的 优势 在 于 不 需要 超时 重 传 ,也 不 依赖 于 粗 粒度 
的 TCP 定时 ,所 以 在 对 时 延 有 一 定 要 求 的 应 用 场合 性 能 较 好 。 在 此 基础 上 还 提出 了 另 
一 种 改进 算法 , 它 通过 调整 拥塞 窗口 的 大 小 ,纠正 有 长 时 间 RTT 的 TCP 连接 的 偏差 ,来 
改进 共享 瓶颈 处 带宽 的 公平 性 。 

4) 公平 排队 算法 (Fair Queuing,FQ) 

在 FQ 算法 中 路 由 器 对 每 个 输出 线路 都 建 有 一 个 排队 队列 。 当 一 条 线路 空闲 时 ,路 
由 器 就 来 回 扫 描 所 有 队列 ,依次 将 每 队 的 第 一 个 包 发 出 。FQ 的 带宽 分 配 独立 于 数据 包 
大 小 ,各 种 服务 在 队列 中 几乎 同时 开始 。 因 此 在 没有 牺牲 统计 复 用 的 情况 下 提供 了 另外 
的 公平 性 ,与 端 到 端的 拥塞 控制 机 制 可 以 较 好 地 协同 工作 。 它 的 缺点 在 于 实现 起 来 很 复 
杂 , 需 要 每 个 数据 流 的 排队 处 理 、 每 个 流 的 状态 统计 数据 包 的 分 类 以 及 包 调 度 的 额外 开 
销 等 。 

5) 加 权 公 平 排队 算法 (Weighted Fair Queuing,.WFQ) 

加 权 公 平 排队 算法 是 FQ 的 改进 算法 。 根 据 不 同 数据 流 及 不 同 带宽 的 要 求 ,对 每 个 
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排队 队列 采用 加 权 方 法 分 配 缓存 资源 ,从 而 增加 FQ 对 不 同 应 用 的 适应 性 ,该 算法 还 有 其 
他 一 些 改进 算法 。 

6) 加 权 随 机 先期 检测 (Weighted Random Early Detection, WRED) 

加 权 随 机 先期 检测 是 将 随机 先期 检测 与 优先 级 排队 结合 起 来 ,这 种 结合 为 高 优先 级 
分 组 提供 了 优先 通信 服务 能 力 。 当 某 个 接口 开始 出 现 拥塞 时 , 它 有 选择 丢弃 优先 级 较 低 
的 分 组 ,而 不 是 随机 丢弃 分 组 。 

7) 定制 排队 

定制 排队 是 为 允许 具有 不 同 最 低 带宽 和 延迟 要 求 的 应 用 程序 共享 网 络 而 设计 的 。 
定制 排队 为 不 同 协议 分 配 不 同 的 队列 空间 ,并 以 循环 方式 处 理 队列 , 当 特 定 协议 的 数据 
流 被 分 配 了 较 大 的 队列 空间 ,也 就 获得 了 较 优 先 的 服务 ,定制 排队 比 优先 级 队列 更 为 公 
平 。 定 制 排队 可 以 保证 每 一 个 特定 的 通信 类 型 得 到 固定 的 可 用 带宽 ,同时 在 链 路 紧张 的 
情况 下 ,避免 了 数据 流 企图 超出 预 分 配 量 限制 的 可 能 。 


3. 慢 启动 算法 十 拥塞 避免 算法 


拥塞 避免 算法 和 慢 启动 算法 是 目的 不 同 的 \ 独 立 无 关 的 算法 。 但 是 当 拥塞 发 生 时 ， 
为 了 降低 分 组 进入 网 络 的 传输 速率 ,可 使 用 调用 慢 启动 来 解决 拥塞 。 在 实际 中 应 用 中 ， 
这 两 个 算法 通常 在 一 起 使 用 ,其 使 用 技术 描述 如 下 : 
。 对 一 个 给 定 的 连接 ,初始 化 拥塞 窗口 为 1 个 报 文 段 ,门限 为 65 535 字 节 。 
。 TCP 输出 例 程 的 输出 不 能 超过 拥塞 窗口 和 接收 方 窗口 的 大 小 。 拥 塞 避免 是 发 送 
方 使 用 的 流量 控制 ,而 接收 方 窗口 则 是 接收 方 进行 的 流量 控制 。 前 者 是 发 送 方 对 
网 络 拥塞 的 估计 ,而 后 者 则 与 接收 方 在 该 连接 上 的 可 用 缓存 大 小 有 关 。 
。 当 拥塞 发 生 时 (超时 或 收 到 重复 确认 ) ,门限 被 设置 为 当前 窗口 大 小 的 一 半 ( 拥 塞 
窗口 和 接收 方 窗口 大 小 的 最 小 值 , 但 最 少 为 2 个 报 文 段 ) 。 此 外 ,如 果 是 超时 引起 
了 拥塞 , 则 拥塞 窗口 被 设置 为 1 个 报 文 段 (这 就 是 慢 启动 ) 。 
。 当 新 的 数据 被 对 方 确认 时 ,就 增加 拥塞 窗口 ,但 增加 的 方法 依赖 于 是 否 正在 进行 
慢 启 动 或 拥塞 避免 。 如 果 拥 塞 窗口 小 于 或 等 于 门限 , 则 正在 进行 慢 启动 ; 否 则 正 
在 进行 拥塞 避免 。 
慢 启 动 一 直 持续 到 当 拥 塞 发 生 之 初 所 处 窗口 大 小 的 一 半 时 才 停 止 ,然后 才 转 去 执行 
拥塞 避免。 
慢 启 动 只 是 采用 了 比 引 起 拥塞 更 慢 些 的 分 组 传输 速率 ,但 在 慢 启动 期 间 进 入 网 络 的 
分 组 数 的 速率 仍然 在 增加 。 只 有 在 达到 门限 拥塞 避免 算法 起 作用 时 .这 种 速率 才 会 慢 
下 来 。 


4. 快速 重 传 与 快速 恢复 算法 


如 果 连 续 收 到 3 个 或 3 个 以 上 的 重复 确认 信号 ACK ,就 表明 有 一 个 报 文 段 丢失 了 。 
于 是 还 需 重 传 丢失 的 数据 报 文 段 ,而 无 须 等 待 超 时 定时 器 溢出 。 这 就 是 快速 重 传 算法 。 

由 于 接收 方 只 有 在 收 到 另 一 个 相同 的 报 文 段 时 才 产 生 重 复 的 ACK ,而 该 报 文 段 已 
经 离开 了 网 络 并 进入 了 接收 方 的 缓存 。 也 就 是 说 ,在 收 .发 两 端 之 间 仍 然 有 流动 的 数据 ， 


第 全 过 信安 全 技术 


3 


而 不 执行 慢 启动 来 突然 减少 数据 流 。 

快速 重 传 与 快速 恢复 算法 步骤 如 下 : 

步骤 1, 当 收 到 第 3 个 重复 的 ACK 时 ,将 门限 设置 为 当前 拥塞 窗口 的 一 半 , 同 时 , 重 
传 丢失 的 报 文 段 。 设 置 拥塞 窗口 为 门限 加 上 3 倍 的 报 文 段 大 小 。 

步骤 2, 每 次 收 到 另 一 个 重复 的 ACK 时 ,拥塞 窗口 增加 1 个 报 文 段 大 小 ,并 发 送 1 个 
分 组 (如 果 新 的 拥塞 窗口 允许 发 送 ) 。 

步骤 3, 当 下 一 个 确认 数据 的 ACK 到 达 时 ,设置 拥塞 窗口 为 门限 (在 步骤 1 中 设置 的 
值 )。 这 个 ACK 应 该 是 在 进行 重 传 后 的 一 个 往返 时 间 内 对 步骤 1 中 重 传 的 确认 。 另 外 ， 
这 个 ACK 也 应 该 是 对 丢失 的 分 组 和 收 到 的 第 1 个 重复 的 ACK 之 间 的 所 有 中 间 报 文 段 
的 确认 。 

这 一 步骤 采用 的 是 拥塞 避免 算法 ,因为 当 分 组 丢失 时 该 算法 能 将 当前 的 速率 减 半 。 
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在 数据 链 路 层 及 高 层 协议 中 ,一 个 最 重要 的 控制 技术 就 是 流量 控制 技术 。 所 谓 流量 
控制 ,就 是 如 何 处 理发 送 方 的 发 送 能 力 比 接收 方 的 接收 能 力 大 的 问题 , 即 当 发 送 方 在 一 
个 相对 快速 或 负载 较 轻 的 网 络 上 运行 ,而 接收 方 在 一 个 相对 慢 速 或 负载 较 重 的 网 络 上 运 
行 时 。 如 果 发 送 方 不 断 地 高 速 将 数据 包 发 出 ,最 终 会 “淹没 "接收 方 的 数据 包 ( 即 后 传 来 
的 包 会“ 冲 掉 ” 前 面 已 接收 但 还 未 来 得 及 处 理 的 数据 包 ) ,即便 传输 过 程 毫 无 差错 ,到 一 定 
的 时 刻 ,接收 方 将 无 能 力 处 理 刚 收 到 的 包 , 就 会 发 生 信息 “丢失 ”的 现象 ,因此 ,必须 采取 
有 效 的 技术 与 措施 来 防止 这 种 丢失 包 的 情况 发 生 。 

最 常见 的 方法 是 引入 流量 控制 来 限制 发 送 方 发 出 的 数据 流量 ,使 其 发 送 速率 不 超过 
接收 方 处 理 的 速率 。 这 种 限制 流量 需要 某 种 反馈 机 制 ,使 发 送 方 了 解 接收 方 的 处 理 速度 
是 否 能 够 跟 上 发 送 方 发 送 包 的 速度 。 

流量 控制 协议 中 包括 一 些 定义 完整 的 规则 ,这 些 规则 描写 了 接收 方 在 什么 时 候 接 收 
下 一 包 , 在 未 获得 接收 方 直接 或 间接 允许 之 前 ,发 送 方 禁止 发 出 包 。 
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521 差错 的 基本 概念 


1. 差错 


所 谓 差错 就 是 在 数据 通信 中 ,接收 端 接 收 到 的 数据 与 发 送 端 发 出 的 数据 出 现 不 一 致 
的 现象 。 差 错 包括 如 下 : 
。 数 据 传输 过 程 中 有 位 丢失 。 
。 发 出 的 位 值 为 0 而 接收 到 的 位 值 为 1 或 发 出 的 位 值 为 1 而 接收 到 的 位 值 为 0。 即 
发 出 的 位 值 与 接收 到 的 位 值 不 一 致 
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2. 热 噪声 


这 里 所 说 的 噪声 是 指 不 正常 的 干扰 信号 。 在 网 络 通信 中 要 尽量 避免 噪声 或 减少 品 
声 对 信号 的 影响 。 
热 噪声 是 影响 数据 在 通信 介质 中 正常 传输 的 各 种 干扰 因素 。 数 据 通信 中 的 热 噪声 
主要 包括 如 下 : 
。 在 数据 通信 中 ,信号 在 物理 信道 上 因 线 路 本 身 电气 特性 随机 产生 的 信号 幅度 、 频 
率 、 相 位 的 畸形 和 衰减 。 
。 电气 信号 在 线路 上 产生 反射 造成 的 回音 效应 。 
。 相 邻 线路 之 间 的 串 线 干 扰 。 
。 大 气 中 的 闪电 ,电源 开关 的 跳 火 自然界 磁场 的 变化 以 及 电源 的 波动 等 外 界 因素 。 
热 噪声 分 为 两 大 类 ,随机 热 噪 声 和 冲击 热 噪 声 。 
。 随机 热 噪声 是 通信 信道 上 固有 的 ,持续 存在 的 热 噪声 。 这 种 热 噪 声 具 有 不 固定 
性 ,所 以 称 为 随机 热 噪 声 。 
。 冲击 热 噪声 是 由 外 界 某 种 原因 突 发 产生 的 热 噪 声 。 


3. 差错 的 产生 

数据 传输 中 所 产生 的 差错 都 是 由 热 噪声 引起 的 。 由 于 热 噪声 会 造成 传输 中 的 数据 
信号 失真 ,产生 差错 。 所 以 在 传输 中 要 尽量 减少 热 噪声 。 

4. 差错 控制 


差错 控制 就 是 指 在 数据 通信 过 程 中 ,发 现 差错 、 检 测 差错 ,对 差错 进行 纠正 ,从 而 把 
差错 尽 可 能 限制 在 数据 传输 所 允许 的 误差 范围 内 所 采用 的 技术 和 方法 。 


5. 差错 控制 编码 


差错 控制 的 核心 是 差错 控制 编码 。 差 错 控制 编码 的 基本 思想 是 通过 对 信息 序列 实 
施 某 种 变换 ,使 原来 彼此 独立 、 没 有 相关 性 的 信息 码 元 序列 ,经 过 变换 产生 某 种 相关 性 ， 
接收 端 据 此 相关 性 来 检查 和 纠正 传输 序列 中 的 差错 。 不同 的 变换 方法 构成 不 同 的 差错 
控制 编码 。 

用 以 实现 差错 控制 的 编码 分 为 检 错 码 和 纠 错 码 两 种 。 检 错 码 是 能 够 自动 发 现 错误 
但 不 能 自动 纠 错 的 传输 编码 ; 纠 错 码 是 既 能 发 现 错误 ,又 能 自动 纠正 传输 错误 的 编码 。 


522 差错 控制 方法 
差错 控制 方法 主要 有 自动 请 求 重 发 .向 前 纠 错 和 反馈 校 验 法 。 
1. 自动 请 求 重 发 


自动 请 求 重 发 (Automatic Repeat Request System,ARRS) 又 称 检 错 重 发 。 它 是 利 
用 编码 的 方法 在 数据 接收 端 自 动 检测 错误 码 , 当 检测 出 错误 数据 包 后 ,通知 数据 发 送 端 
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重新 发 送 错误 的 数据 包 。ARRS 的 特点 是 只 能 检测 出 有 无 误 码 ,但 确定 不 出 误 码 的 准确 
位 置 ,ARRS 技术 需要 系统 具备 双向 信道 。 


2. 向 前 纠 错 


向 前 纠 错 (Forward Error Correct,FEC) 是 利用 编码 方法 ,在 接收 端 不 仅 能 对 接收 的 
数据 进行 检测 ,而 且 当 检测 出 错误 码 后 能 自动 进行 纠正 。FEC 的 特点 是 接收 端 能 够 准确 
地 确定 错误 码 的 位 置 ,从 而 可 自动 进行 纠 错 。 应 用 FEC 不 需要 反 向 信道 ,不 存在 重 发 延 
时 间 题 ,所 以 实时 性 强 , 但 纠 错 设备 比较 复杂 。 


3. 反馈 校 验 法 


反馈 校 验 法 (Feedback Verify Method,FVM) 是 接收 端 将 收 到 的 信息 码 原 封 不 动 地 
发 回 发 送 端 ,再 由 发 送 端 用 反馈 回来 的 信息 码 与 原 发 信息 码 进行 比较 ,如 果 发 现 错误 ,发 
送 端 进行 重 发 。 反 馈 校 验 的 特点 是 其 方法 .原理 和 设备 都 比较 简单 ,但 需要 系统 提供 双 
向 信道 ,因为 每 一 个 信息 码 都 至 少 传输 两 次 ,所 以 传输 效率 低 。 


4. 检 错 编码 方法 


差错 检测 方法 很 多 ,比如 奇偶 校 验 检测 .水平 垂直 奇偶 校 验 检测 . 定 比 检测 、 正 反 检 
测 、 循 环 宛 余 检测 及 海 明 检测 等 方法 。 所 有 这 些 方法 分 别 采 用 了 不 同 的 差错 控制 编码 技 
术 。 下 面 介绍 几 种 常用 的 检 错 控制 编码 方法 。 

1) 垂直 奇偶 校 验 法 

垂直 奇偶 校 验 是 以 字符 为 单位 进行 校 验 的 方法 。 以 ASCII 码 为 编码 的 字符 为 例 , 一 
个 字符 由 8 位 组 成 ,其 中 低 7 位 是 信息 位 ,最 高 位 是 校 验 位 。 

奇 校 验 的 规则 是 ,确保 发 出 的 一 组 信息 码 中 含 1 的 个 数 为 奇数 ; 偶 校 验 的 规则 是 , 确 
保 发 出 的 一 组 信息 码 中 含 1 的 个 数 为 偶数 。 

例 5-1 如 果 一 个 字符 的 7 位 信息 码 为 1001101, 采 用 奇 校 验 编码 , 求 其 校 验 位 的 值 。 

由 于 这 个 字符 的 7 位 代码 中 有 1 的 个 数 为 偶数 (4 个 ) ,所 以 其 校 验 位 的 值 为 1。 即 整 
个 8 位 发 送 编码 为 11001101( 最 高 位 为 校 验 位 ) 。 

当 接收 端 接收 到 字符 8 位 编码 后 , 即 开 始 检测 , 若 检测 出 其 含 1 的 个 数 为 奇数 , 则 被 
认为 传输 正确 ,否则 就 被 认为 传输 中 出 现 差错 。 

2) 水 平 奇偶 校 验 法 

水 平 奇偶 校 验 是 以 字符 组 为 单位 的 一 种 校 验方 法 。 对 一 组 字符 中 的 相同 位 进行 奇 
偶 校 验 。 水 平 奇偶 校 验 法 通常 以 7 个 字 节 ( 即 7 个 字符 ) 为 一 组 ,外 加 一 个 字 节 的 校 
验 码 。 

3) 水 平 垂直 奇偶 校 验 法 

水 平 垂直 奇偶 校 验 是 同时 进行 水 平方 向 和 垂直 方向 的 奇偶 校 验 的 校 验 。 其 具体 实 
现 过 程 如 下 : 

@ 组 成 一 个 字符 组 (8 字 节 一 个 组 )。 

@ 对 每 一 个 字符 增加 一 个 校 验 位 (7 个 数据 位 ,1 个 校 验 位 )。 
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@ 对 每 组 字符 相同 的 位 增加 一 个 校 验 位 ( 即 多 传输 一 个 字 节 的 校 验 信息 ) 。 
具体 传输 过 程 是 , 先 按 水 平 奇偶 校 验 法 进行 数码 传输 和 校 验 , 待 一 组 字符 (8 个 字 节 ) 
全 部 传输 完毕 后 ,再 进行 垂直 校 验 。 
水 平 垂直 奇偶 校 验 法 的 可 靠 性 高 ,但 编码 复杂 ,检测 时 间 长 。 
4) 循环 宛 余 码 校 验 法 
循环 完 余 检验 码 (Cyclic Redundancy Code,CRC) 又 称 多 项 式 码 , 它 是 一 种 在 计算 机 
网 络 和 数据 通信 中 用 得 最 广泛 的 检 错 码 之 一 。 循 环 宛 余 检验 码 是 在 发 送 端 产 生 一 个 循 
环 宛 余 检验 码 。 
循环 宛 余 检验 的 基本 原理 如 下 : 
设 : 信息 码 为 位 ,其 多 项 式 为 (k 一 1) 次 多 项 式 , 记 为 K(x)。 
元 余 码 为 n 位 ,其 多 项 式 为 r 次 (r= 二 n 一 1) 多 项 式 , 记 为 R(x)。 
由 信息 位 产生 宛 余 位 的 编码 过 程 ,就 是 已 知 K(zr) 求 RC(z) 的 过 程 。 在 CRC 码 中 可 
以 通过 找到 一 个 特定 的 nn 次 多 项 式 G(X), 用 G(X) 去除 X" XK(z) 所 得 到 的 余 式 就 是 
R(z), 
例 5-2 设 信息 码 为 1011001 , 宛 余 码 为 4 位 。 
则 有 KCX)=X* 十 X' 十 X? 十 1。 
说 明 : 因 信 息 码 有 7 位 ,所 以 K(z) 为 6 次 多 项 式 ,元 余 码 有 4 位 ,所 以 R(z) 应 为 3 
次 多 项 式 。 
由 信息 位 产生 元 余 位 的 编码 过 程 ,就 是 已 知 K(xr) 求 R(x) 的 过 程 。 在 CRC 码 中 可 
以 通过 找到 一 个 特定 的 nn 次 多 项 式 G(X), 用 G(X) 去 除 X" XK(z) 所 得 到 的 余 式 就 是 
R(x), 
设 : K(X)=Xs 十 X' 十 X? 十 1 即 K(X)=1011001 
n=4 
G(X)== X' 十 X? 十 1 即 11001( 实 际 上 ,G(X) 是 K(X) 的 后 5 位) 
则 : X4XK(CX) 一 Xi 十 Xs 十 X7 十 X4 即 10110010000 
由 上 看 出 , X*XK(CX) 实 际 上 是 在 K(X) 后 添加 4 个 0 得 到 的 。 
用 G(X) 去 连 除 ( 即 不 断 进行 异 或 )X* XKCX) 有 : 
10110010000 
11001 
1111010000 
11001 
11110000 
11001 
111000 
11001 
1010 (余数 ) 
从 上 面 演算 过 程 中 看 出 ,经 过 若干 次 异 或 运算 后 ,得 到 的 最 后 余数 1010 就 是 所 需 用 
的 元 余 码 R(X), 记 为 R(X) 二 X’ 十 X。 
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在 信息 接收 端 ,用 信息 码 与 宛 余 码 进行 车 干 次 异 或 运算 , 当 余 式 为 0 时 则 认为 传输 
无 差错 ,否则 认为 传输 有 差错 。 
验算 举例 : 设 K(X)==1011001,R(X)==1010,G(X) 二 11001 
则 : T(X)= XXK(X)BR(X)=10110011010 
验算 方法 : 仍然 采用 不 断 异 或 运算 的 方法 进行 验算 , 即 用 T(X) 与 G(X) 异 或 ,这 里 
G(X) 取 自 K(X) 的 后 5 位 。 
10110011010 
11001 
1111011010 
11001 
11111010 
11001 
110010 
11001 
0 
验算 完毕 。 
S. 自动 纠 错 技术 


自动 纠 错 就 是 在 信息 接收 端 能 自动 检测 错误 ,并 能 进行 错误 编码 的 定位 ,从 而 能 自 
动 进行 纠 错 。 纠 错 很 简单 ,将 错误 码 求 反 即 可 ,关键 是 如 何 定位 错误 码 的 位 置 。 
1) 自动 校 验 公 式 及 校 验 码 
这 里 ,以 传输 一 个 4 位 数码 为 例 ,介绍 一 种 自动 纠 错 的 算法 。 
每 个 字符 除了 4 位 数码 外 ,还 要 增加 4 个 校 验 位 , 即 一 组 信息 共 8 位 。 从 左 到 右 其 二 
进 制 编码 用 C1 一 C8 表示 ,其 校 验 码 计算 公式 如 下 : 
CI®@C2@CBCADBC=0 
Cl1 田 C2 田 C3 田 C6=0 
ClI@C3®@CAABCT=0 
ClI®@C2@CAABC8=0 


C5=CI®@C2@CIOC4 
C6=C4@C5 
C7=C2@C5 
C8=C3@C5 
上 式 中 ,符号 “ 旬 ” 表 示 异 或 运算 。 
2) 校 验 方法 
在 发 送 端 ,用 回 一 @ 式 计算 出 校 验 码 C5、C6、C7 和 C8 ,连同 前 4 位 数码 一 起 发 给 接 
收 端 ; 在 接收 端 , 用 四 一 四 式 进 行 校 验 , 若 4 个 式 子 计算 结果 都 为 0, 则 传输 正确 ,只 要 有 
一 个 式 子 的 计算 结果 为 1, 则 说 明 传输 有 错 。 


@e9eee OA8@e8e 
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例 5-3 设 信息 码 为 1101, 即 C1==1,C2 二 1,C3 二 0,C4 二 1, 求 出 4 位 校 验 位 C5、C6、 
C7、.C8。 根 据 上 述 计算 公式 @ 一 @ 计 算得 到 : 
C5=1 田 1@0@1=1 
C6=1@®@1=0 
C7=1®@1=0 
C8=0®1=1 
因此 ,得 到 8 位 发 送 编码 如 下 : 
Gi CE CY CE Es ,G6 "6 
1 1 0 1 1 0 0 1 


在 接收 端 接收 完 8 位 数码 后 即 用 一 @ 式 进行 校 验 , 若 接收 端 收 到 的 8 位 编码 都 正 
确 , 则 4 个 式 子 的 计算 结果 肯定 为 0, 如 果 有 一 位 错误 , 则 到 少 有 一 个 式 子 的 结果 不 为 0。 
例如 设 接收 端 收 到 的 C4 二 0, 而 其 余 位 正确 ,将 C1 一 C8 代入 @ 一 田 , 则 有 : 

1®@1®@0@0@1=1 
1®@1@®@0@®@0=0 
1®@0@®@0@®@0=1 
1®@1@0®@1=1 

从 上 面 可 看 出 ,除了 @ 式 正确 (结果 为 0) 以 外 ,其 余 3 式 全 错 (结果 为 1) 。 

3) 差错 判断 法 则 

。 若 0 .D .@、.@ 式 全 错 , 则 C1 必 错 。 

。 若 、@、@ 式 错 而 加 式 不 错 , 则 C2 必 错 。 

。 若 0 .@ .四 式 错 而 四 式 不 错 , 则 C3 必 错 。 

。 若 0 .@、@ 式 错 而 @ 式 不 错 , 则 C4 必 错 。 

。 车 只 有 @ 式 错 则 C5 必 错 。 

。 车 只 有 @ 式 错 则 C6 必 错 。 

。 车 只 有 @ 式 错 则 C7 必 错 。 

。 车 只 有 @ 式 错 则 C8 必 错 。 
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531 网 络 数据 的 安全 传输 技术 


1. 网 络 数据 传输 的 概念 


可 以 说 ,一 切 通过 计算 机 网 络 传输 数据 的 过 程 都 叫 网 络 传输 。 包 括 在 个 人 网 络 、 局 
域 网 络 ,广域网 络 和 国际 互联 网 络 上 的 数据 传输 。 无 论 是 接收 数据 ,还 是 发 送 数据 ,只 要 
是 从 一 台 计 算 机 通过 网 络 向 另 一 台 计算 机 传输 数据 ,都 可 以 理解 为 网 络 数据 传输 。 例 
如 ,收发 电子 邮件 ,用 FTP 上 传 或 下 载 文件 ,浏览 网 页 等 都 属于 网 络 数据 传输 。 
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在 现代 网 络 中 ,网 络 传输 的 主要 协议 有 两 个 ,TCP 协议 和 UDP 协议 。TCP 协议 是 
面向 连接 的 协议 ,可 以 在 确认 对 方 身份 以 后 再 进行 数据 交换 ,相对 来 说 比较 安全 ;而 UDP 
协议 是 面向 非 连接 的 协议 ,对方 在 线 与 否 都 可 以 给 对 方 传输 数据 , 因 UDP 无 法 进行 身份 
认证 ,其 安全 隐患 比 TCP 要 大 得 多 。 


2. 数据 的 安全 传输 


在 网 上 传输 数据 ,尤其 是 远程 网 络 传输 ,不 可 避免 地 要 经 过 许多 称 为 “ 跳 " 的 路 由 器 
及 交换 机 ,数据 包 每 经 过 一 跳 ,都 会 面临 数据 包 被 截获 ,被 破解 .被 更 改 的 危险 ,无论 是 采 
用 面向 连接 的 TCP 协议 还 是 采用 面向 非 连接 的 UDP 协议 ,都 是 如 此 。 因 此 ,保护 网 络 
数据 正确 传输 的 目的 有 两 个 , 既 要 保证 网 络 传输 数据 的 正确 性 和 完整 性 ,还 要 对 对 方 的 
身份 进行 认证 (使 用 面向 连接 协议 TCP 时 ) 。 

对 网 络 数据 的 保护 通常 有 这 样 几 种 技术 ,数字 签名 技术 与 身份 认证 技术 ,数据 加 密 
技术 、 消 息 摘要 技术 (数据 的 完整 性 保护 ) 和 数据 隐藏 技术 。 


3. 网 络 数据 传输 法 则 


针对 数据 传输 过 程 中 的 数据 安全 问题 ,HDS 公司 首席 安全 官 Arthur B. Edmonds 给 
出 了 5 步 法 则 。 

第 1 步 是 Authentication (证明)。 即 证 明 符 合 所 声明 的 身份 ,相关 的 工具 包括 
DABIOS、LDAP、DH-CHAP. 密 匙 与 密码 等 。 不 论 何 时 , 当 建 立 一 个 数据 传输 通路 时 ,这 
是 必须 要 做 的 第 一 件 事 。 这 就 好 像 是 一 个 护照 ,上 面 记录 用 户 所 有 的 信息 。 

第 2 步 是 Authorization( 授 权 )。 如 果 从 主 数据 中 心 向 次 级 数据 中 心 备份 数据 ,就 需 
要 一 个 长 时 间 的 通路 连接 。 此 时 ,次 级 数据 中 心 就 需要 授权 , 即 表明 能 做 什么 ? 被 允许 
做 什么 ? 

第 3 步 是 Audit/Accounting (稽核 )。 即 记录 用 户 在 登录 后 执行 过 的 操作 。 稽 查 日 
志 的 精度 极 高 , 它 可 以 捕捉 到 每 一 个 按键 的 操作 。 因 此 ,用 户 的 所 有 操作 步骤 都 会 被 记 
录 在 日 志 中 。 

第 4 步 是 Integrity( 一 致 性 )。 即 保证 对 方 能 够 收 到 所 发 送 的 信息 , 且 发 送 与 接收 的 
数据 保持 一 致 ,而 这 中 间 也 不 会 被 其 他 人 帘 改 意思 。 保 证 一 致 性 ,就 是 要 防止 黑客 或 其 
他 人 窃取 本 不 该 他 们 看 到 的 数据 。 对 于 数据 的 安全 性 来 说 ,这 一 步骤 是 非常 重要 的 。 

第 5 步 是 Confidentiality( 保 密 性 )。 即 只 有 拥有 相应 权限 的 人 才能 看 到 保密 信息 ， 
这 也 是 通常 所 说 的 加 密 (encryption)。 加 密 有 软件 加 密 和 硬件 加 密 。 

通过 上 述 5 个 步骤 ,就 可 以 进行 安全 数据 传输 ,最 后 是 关闭 对 话 通路 。 在 这 里 讲述 
的 存储 安全 ,不 仅 限 于 从 存储 设备 出 发 。 安 全 应 该 建立 在 应 用 的 基础 上 ,用 户 需 要 的 是 
一 个 完整 的 端 到 端的 安全 解决 方案 。 不 能 只 关心 存储 阵列 的 安全 ,还 必须 保证 连接 的 所 
有 设备 都 运行 于 安全 协议 之 上 。 


4. 数字 签名 技术 与 身份 认证 技术 
数字 签名 与 身份 认证 技术 是 建立 可 靠 性 数据 传输 的 基础 ,对 于 重要 的 数据 ,必须 在 
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确认 对 方 的 身份 后 才能 发 送 给 对 方 。 数 据 签名 技术 与 身份 认证 技术 详 见 4. 3. 2 小 节 。 
5. 数据 加 密 技术 


数据 加 密 的 目的 是 当 网 络 传输 的 数据 被 非法 截获 后 ,非法 用 户 无 法 读 懂 所 截获 的 数 
据 内 容 。 
可 采用 4.1 节 介 绍 的 任何 一 种 数据 加 密 技术 对 数据 进行 加 密 , 但 要 注意 下 面 两 点 。 
。 消息 摘要 算法 只 适用 于 非 保密 通信 的 数据 。 
。 RSA 算法 一 般 只 用 于 身份 认证 和 对 经 典 加 密 算法 `DES 算法 的 密 钥 进行 加 密 。 
而 不 提倡 用 于 批量 数据 的 加 密 。 


6. 消息 摘要 技术 


通过 消息 摘要 ,可 有 效 地 鉴别 消息 在 传输 过 程 中 的 完整 性 。 消 息 摘要 技术 详 见 
4.1.6 小 节 。 


7. 信息 隐藏 技术 


1) 信息 隐藏 技术 概述 

信息 隐藏 (information hiding) ,或 更 严格 地 称 为 信息 伪装 (steganography, 该 单词 来 
源 于 古 希 腊 ,意思 是 将 有 用 或 重要 的 信息 隐藏 于 其 他 信息 里 面 以 掩饰 其 存在 ) ,就 是 将 机 
密 信 息 秘 密 地 隐藏 于 另 一 非 机 密 的 信息 之 中 。 其 形式 可 为 任何 一 种 数字 媒体 ,如 图 像 、 

音 、 视 频 或 一 般 的 文档 等 。 

信息 隐藏 将 信息 藏匿 于 一 个 宿主 信号 中 ,使 不 被 觉察 到 或 不 易 被 注意 到 , 且 不 影响 
宿主 信号 的 知觉 效果 和 使 用 价值 。 

2) 信息 隐藏 与 数据 加 密 的 区 别 

。 隐藏 的 对 象 不 同 。 加 密 是 隐藏 内 容 , 而 信息 隐藏 主要 是 隐藏 信息 的 存在 性 。 隐 藏 
通信 上 比 加 密 通 信 更 安全 ,因为 它 隐藏 了 通信 的 发 送 方 .接收 方 ,以 及 通信 过 程 的 存 
在 ,不 易 引 起 怀疑 。 
保护 的 有 效 范围 不 同 。 传 统 的 加 密 方 法 对 内 容 的 保护 只 局 限 在 加 密 通 信 的 信道 
中 或 其 他 加 密 状 态 下 ,一 旦 解密 , 则 毫 无 保护 可 言 ;而 信息 隐藏 不 影响 宿主 数据 的 
使 用 ,只 是 在 需要 检测 隐藏 的 那 一 部 分 数据 时 才 进 行 检测 ,之 后 仍 不 影响 其 使 用 
和 隐藏 信息 的 作用 。 
需要 保护 的 时 间 长 短 不 同 。 一 般 来 说 ,用 于 版 权 保 护 的 鲁 棒 水 印 要 求 有 较 长 时 间 
的 保护 效力 。 
对 数据 失真 的 容许 程度 不 同 。 多 媒体 内 容 的 版 权 保护 和 真实 性 鉴别 往往 需 容忍 
一 定 程度 的 失真 ,而 加 密 后 的 数据 不 容许 一 个 比特 的 改变 ,否则 无 法 脱 密 。 

应 该 注意 到 ,传统 的 以 密码 学 为 核心 技术 的 信息 安全 和 信息 隐藏 技术 不 是 互相 矛 
盾 、 互 相 竞 争 的 技术 ,而 是 互补 的 。 例 如 ,将 秘密 信息 加 密 之 后 再 隐藏 ,是 保证 信息 安全 
的 最 佳 方案 ,也 是 更 符合 实际 要 求 的 方法 。 
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3) 信息 隐藏 技术 的 分 类 

(1) 按 信息 隐藏 技术 包含 的 内 容 进行 分 类 。 

。 隐藏 术 (steganography)。 一 般 指 那些 进行 秘密 通信 的 技术 总 称 ,通常 把 秘密 信 
息 嵌 入 或 隐藏 在 其 他 不 受 怀疑 的 数据 中 。 隐 藏 的 方法 通常 假设 第 三 方 不 知道 隐 
项 通信 的 存在 ,而 且 主 要 用 于 互相 信任 的 双方 进行 点 到 点 的 秘密 通信 。 因 此 , 隐 
藏 术 一 般 不 具有 和 鲁 棒 性 (“和 鲁 棒 ”是 Robust 的 音译 ,也 就 是 健壮 和 强壮 的 意思 。 重 
棒 性 指 的 是 在 异常 和 危险 情况 下 系统 生存 的 关键 。 比 如 说 ,计算 机 软件 在 输入 错 
误 、 磁 盘 故 障 、 网 络 过 载 或 有 意 攻 击 情况 下 .能 不 死机 、 不 崩溃 ,就 是 该 软件 的 鲁 棱 
性 )。 例 如 ,在 数据 改动 后 隐藏 的 信息 是 不 能 被 恢复 的 。 

数字 水 印 (digital watermarking) 。 数 字 水 印 就 是 向 被 保护 的 数字 对 象 (如 静止 图 
像 、 视 频 、 音 频 ) 嵌 入 某 些 能 证 明 版 权 归 属 或 跟踪 侵权 行为 的 信息 ,可 以 是 作者 的 
序列 号 .公司 标志 .有 意义 的 文本 等 。 同 隐藏 术 相 反 , 水 印 中 的 隐藏 信息 具有 能 抵 
抗 攻 击 的 鲁 棒 性 。 即 使 知道 隐藏 信息 的 存在 ,对 攻击 者 而 言 要 毁 掉 嵌入 的 水 印 仍 
很 困难 。 即 使 水 印 算法 的 原理 公开 也 是 如 此 。 在 密码 学 中 ,这 就 是 众所周知 的 
Kerkhoffs 原理 ,加 密 系统 在 攻击 者 已 知 加 密 原 理 和 算法 、 但 不 知道 相应 密 钥 时 
仍 是 安全 的 。 和 鲁 棒 性 的 要 求 使 得 水 印 算法 在 宿主 数据 中 嵌入 的 信息 比 隐藏 术 少 。 
水 印 技术 和 隐藏 术 更 多 的 时 候 是 互补 的 技术 而 不 是 互相 竞争 的 。 

数据 隐藏 和 数据 嵌入 (data hiding and data embedding)。 通 常 在 不 同 的 上 下 文 环 
境 中 ,它们 一 般 指 隐藏 术 ,或 者 指 介 于 隐藏 本 和 水 印 之 间 的 应 用 ,在 这 些 应 用 中 霸 
和 数据 的 存在 是 公开 的 ,但 没 必 要 保护 它们 。 例 如 ,嵌入 的 数据 是 辅助 的 信息 和 
服务 ,它们 可 以 是 公开 得 到 的 ,与 版 权 保护 和 控制 存 取 等 功能 无 关 。 

指纹 和 标签 (fingerprinting and labeling)。 指 水 印 的 特定 用 途 。 有 关 数 字 产 品 的 
创作 者 和 购买 者 的 信息 作为 水 印 而 嵌入 ,每 个 水 印 都 是 一 系列 编码 中 的 唯一 一 个 
编码 , 即 水 印 中 的 信息 可 以 唯一 地 确定 每 一 个 数字 产品 的 备份 ,因此 称 它们 为 指 
纹 或 者 标签 。 

(2) 按 不 同 的 运行 环境 .载体 以 及 所 采用 的 算法 进行 分 类 。 

随 着 多 媒体 技术 和 Internet 的 迅猛 发 展 , 大 量 重 要 的 文件 和 个 人 信息 以 数字 化 形式 


存储 和 传输 ,这 些 信 息 包 括 文本 、 图 像 .音频 以 及 视频 等 。 这 些 都 为 秘密 信息 的 隐藏 提供 
了 极 好 的 载体 ,其 他 的 一 些 特殊 载体 包括 存储 设备 以 及 基于 通信 协议 的 数据 包 等 。 


。 文档 文件 中 的 信息 隐藏 。 
早期 隐藏 信息 的 方法 是 用 不 可 见 的 墨汁 直接 在 纸 上 书 写 秘密 信息 。 计 算 机 极 大 地 


扩充 了 信息 隐藏 的 空间 。 利 用 文档 文件 的 布局 就 可 以 隐藏 秘密 信息 。 可 以 根据 秘密 信 
息 的 内 容 相应 地 调整 每 一 行 或 者 每 个 字 之 间 的 距离 。 还 可 以 额外 地 加 入 空格 以 及 不 可 
见 信息 来 表达 秘密 信息 。TXT 文档 .Word 文档 .PDF 文档 .HTML 和 XML 等 各 种 文档 
中 空格 符 以 及 回 车 符 可 以 用 来 传递 隐藏 信息 ,常见 的 文字 处 理 器 、Web 浏览 器 会 忽略 这 
些 空格 符 以 及 回 车 符 , 但 是 对 这 些 源 文件 进行 分 析 就 会 发 现 这 些 额 外 信息 。 


”音频 .图像 和 视频 文件 中 的 信息 隐藏 。 
以 图 像 为 载体 的 信息 隐藏 方法 很 多 ,按照 秘密 信息 的 嵌入 方式 可 以 分 为 两 类 。 一 类 
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方法 将 秘密 信息 按 某 种 算法 直接 释 加 到 图 像 的 空间 域 上 。 考 虑 到 视觉 上 的 不 可 见 性 ,一 
般 是 嵌入 到 图 像 中 最 不 重要 的 像素 位 上 。 空 间 域 方法 的 特点 是 计算 速度 快 ,而 且 很 多 算 
法 不 需要 原始 图 像 。 

另 一 类 方法 是 先 将 图 像 做 某 种 变换 (特别 是 正 交 变换 ) ,然后 把 秘密 信息 嵌入 到 图 像 
的 变换 域 中 。 

。 存 储 载体 中 的 信息 隐藏 。 

充分 利用 未 用 的 磁盘 存储 空间 或 者 保留 的 空间 来 隐藏 信息 不 会 破坏 载体 原 有 信息 。 
操作 系统 在 存储 文件 时 会 产生 一 些 不 用 的 空间 。 例 如 ,在 Windows 95/98 操作 系统 中 ， 
FAT16 文件 系统 乌 的 大 小 为 32KB。 这 就 意味 着 为 文件 分 配 的 最 小 单元 为 32KB。 如 果 
文件 大 小 为 1KB, 将 有 31KB 的 空间 被 浪费 。 这 些 额 外 的 空间 可 以 用 来 隐藏 信息 而 不 被 
正常 文件 系统 所 访问 和 显示 。 

在 文件 系统 中 另外 的 一 种 信息 隐藏 的 方法 是 创建 一 个 隐蔽 分 区 。 当 正常 文件 系统 
启动 时 ,这 个 分 区 是 不 可 见 的 ,但 是 在 许多 情况 下 ,运行 一 些 磁盘 配置 程序 时 (如 DOS 下 
Fdisk) 就 会 暴露 隐蔽 的 磁盘 分 区 。 目 前 这 个 观点 已 经 得 到 了 扩充 ,提出 了 一 个 基于 信息 
隐藏 的 文件 系统 。 在 该 系统 中 ,只 有 用 户 知 道 相应 用 户 账号 和 口令 , 才 可 以 访问 该 文件 
系统 ,其 他 用 户 根本 不 知道 该 文件 系统 是 否 存在 。 

。 网 络 协议 数据 中 的 信息 隐藏 。 

网 络 协议 有 许多 缺陷 可 以 用 来 进行 信息 隐藏 。 例 如 ,TCP/IP 包 在 因特网 中 传输 信 
息 ,在 其 包头 结构 中 有 一 些 未 用 的 位 。 在 TCP 头 中 有 6 个 保留 位 ,在 IP 头 中 有 2 个 保留 
位 。 除 此 之 外 ,在 头 结构 的 其 他 信息 可 以 重 定义 来 隐藏 信息 。 比 如 利用 包 ID 信息 ,TCP 
握手 协议 的 初始 序列 号 ,确认 序列 号 隐藏 信息 。ICMP 包 中 的 源 抑制 位 同样 也 可 以 进行 
信息 隐藏 。 

。 基于 图 灵机 的 信息 隐藏 技术 。 

还 有 一 种 隐藏 技术 ,使 用 自动 机 生成 一 段 有 意义 的 文字 。 这 段 文字 的 生成 是 根据 秘 
密 信息 的 内 容 和 自动 机 特定 的 文法 实现 的 。 

4) 信息 隐藏 的 应 用 领域 

(1) 隐蔽 通信 。 

隐藏 通 信 的 收发 双方 ,以 及 通信 过 程 的 存在 。 

(2) 版 权 保护 。 

包括 确认 数据 的 作者 和 数据 的 合法 使 用 者 (序列 号 ) 两 种 。 这 种 水 印 属于 鲁 棒 水 印 
(robust watermarking) 。 

(3) 鉴别 。 

鉴别 或 称 为 “认证 ”,“ 算 改 提 示 ”, 用 于 确认 数据 的 真实 性 、 完 整 性 ,提示 被 算 改 情况 。 
这 种 水 印 称 易 损 水 印 (fragile watermarking) 。 

(4) 注释 。 

隐藏 大 量 的 信息 于 数据 中 ,用 于 解释 这 些 数据 ,如 在 CD 音乐 中 隐藏 该 乐曲 的 简介 、 
作曲 .定购 信息 和 访问 连接 等 操作 代码 ,在 图 像 中 隐藏 图 像 名 称 和 图 像 内 容 简介 、 创 作 
者 等 。 
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这 种 水 印 要 求 能 抵抗 正常 的 D-A/A-D 变换 、 噪 声 和 一 般 压缩 等 ,一 般 不 需要 抵抗 
恶意 攻击 。 这 种 在 实际 应 用 中 可 能 需要 更 高 的 要 求 , 如 裁剪 后 仍 能 保存 保留 部 分 的 
信息 ,甚至 保留 有 原始 数据 的 信息 ,能 知道 被 裁剪 (可 能 要 与 鲁 棒 水 印 . 易 损 水 印 配合 
使 用 )。 

(5) 使 用 控制 。 

如 DVD 防 复制 系统 ,将 水 印信 息 嵌 入 DVD 内 容 数据 中 ,DVD 播放 机 通过 检测 
DVD 数据 中 水 印信 息 来 判断 其 合法 性 和 能 否 复制 。 

5) 数字 水 印 技术 

数字 水 印 (digital watermark) 技 术 是 在 图 像 声音 等 多 媒体 数据 中 隐藏 埋 人 某 种 信 
息 , 并 使 其 隐蔽 的 一 种 技术 ,隐藏 埋 和 人 的 信息 则 称 为 数字 水 印 。 数 字 水 印 可 以 加 入 到 没 
有 版 权 保护 措施 的 数字 代码 中 ,比如 数字 音乐 文件 .数字 视频 文件 或 数字 图 书 等 ,这 些 数 
字 水 印 代码 中 含有 相关 的 版 权 信息 ,能 够 对 数字 出 版 物 的 版 权 起 到 保护 作用 。 采 用 这 种 
技术 埋 人 的 信息 ,人 不 能 直接 感知 ,只 能 通过 数据 压缩 .过 滤 处 理 等 方法 才能 检测 埋 和 人 的 
信息 。 这 项 技术 的 特点 是 ,如 果 他 人 擅自 去 除 埋 人 的 信息 ,就 会 严重 影响 音像 的 质量 。 

该 项 技术 所 具有 的 特点 可 适用 数字 化 作品 的 著作 权 保护 。 因 此 ,欧美 有 关 厂 商 正 积 
极 开 发 采用 该 技术 的 著作 权 保护 系统 。 

那么 数字 水 印 是 怎样 防止 非法 复制 的 呢 ? 首先 ,版 权 所 有 者 可 在 不 希望 被 非法 复制 
的 信息 内 容 中 加 入 数字 水 印 , 之 后 通过 因特网 将 该 内 容 发 送出 ,使 任何 人 都 可 以 自由 地 
在 服务 器 上 公开 该 内 容 。 该 内 容 由 于 将 数字 水 印 作为 版 权 信息 加 入 到 了 其 中 ,版 权 所 有 
者 在 看 到 数字 水 印 后 就 可 以 判断 自己 的 内 容 是 否 被 转载 。 因 此 ,数字 水 印 也 会 成 为 一 种 
法 律 手段 ,数字 水 印 将 成 为 要 求 停止 公开 信息 以 及 索 求 赔偿 损失 时 的 重要 证 据 。 

数字 水 印 的 特点 是 即使 数据 的 格式 发 生 了 变化 ,也 不 会 丢失 。 比 如 说 ,有 人 下 载 了 
别人 公开 的 加 入 了 数字 水 印 的 JPEG 格式 图 像 ,并 将 其 转换 为 BMP 格式 ,数字 水 印 的 信 
息 仍然 不 会 丢失 。 这 是 因为 数字 水 印 并 不 是 附加 在 原 数据 上 的 ,而 是 嵌入 到 了 原 数 据 的 
本 身 当中 ,而 且 包 含 数字 水 印 的 数据 看 起 来 跟 普 通 的 数据 完全 一 样 。 


532 网 络 死 锁 防范 技术 


当 通 信子 网 内 传送 的 报 文 分 组 过 多 、 结 点 接收 速度 太 慢 线路 容量 不 足 时 ,都 会 导致 
网 络 性 能 变 差 ,出 现 拥塞 。 当 拥塞 加 剧 就 会 使 网 络 吞 吐 量 急剧 下 降 为 零 ,这 时 网 络 无 法 
工作 , 称 为 网 络 死 锁 。 

其 实 , 网 络 死 锁 就 是 典型 的 网 络 拥塞 现象 .避免 网 络 死 锁 的 方法 有 3 种 ,缓冲 区 预 分 
配 法 、 分 组 丢弃 法 和 许可 证 法 等 。 


1. 缓冲 区 预 分 配 法 


该 方法 用 于 虚 电 路 分 组 交换 网 中 。 在 建立 虚 电 路 时 ,让 呼叫 请 求 分 组 途经 的 所 有 结 
点 为 虚 电路 预先 分 配 一 个 或 多 个 数据 缓冲 区 。 若 某 个 结 点 缓冲 区 已 被 占 满 , 则 呼叫 请 求 
分 组 另 择 路 由 ,或 者 返回 一 个 “ 忙 ”信号 给 呼叫 者 。 这 样 ,通过 途经 的 各 个 结 点 为 每 条 虚 
电路 开设 的 永久 性 缓冲 区 (直到 虚 电 路 拆除 ) ,就 总 能 有 空间 来 接纳 并 转送 经 过 的 分 组 。 
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此 时 的 分 组 交换 与 电路 交换 非常 相似 。 当 结 点 收 到 一 个 分 组 并 将 它 转发 出 去 之 后 ,该 结 
点 就 向 发 送 结 点 返回 一 个 确认 信息 。 该 确认 信息 一 方面 表示 接收 结 点 已 正确 收 到 分 组 ， 
另 一 方面 告诉 发 送 结 点 ,本 结 点 已 空 出 缓冲 区 ,可 以 接收 下 一 个 分 组 。 


2. 分 组 丢弃 法 


该 方法 不 必 项 先 保留 缓冲 区 , 当 缓 冲 区 占 满 时 ,将 来 到 的 分 组 丢弃 。 若 通信 子 网 提 
供 的 是 数据 报 服务 , 则 用 分 组 丢弃 法 来 防止 阻塞 发 生 不 会 引起 太 大 的 影响 。 但 若 通 信子 
网 提供 的 是 虚 电 路 服务 , 则 必须 在 某 处 保存 被 丢弃 的 分 组 的 备份 ,以 便 阻 塞 解 决 后 能 重 
新 传送 。 有 两 种 解决 被 丢弃 分 组 重 发 的 方法 ,一 种 是 让 发 送 被 丢弃 分 组 的 结 点 超时 ,使 
其 重新 发 送 分 组 直到 分 组 被 收 到 ; 另 一 种 是 让 发 送 被 丢弃 分 组 的 结 点 在 一 定 次 数 后 放弃 
发 送 , 并 迫使 数据 源 结 点 超时 而 重新 开始 发 送 。 但 是 不 加 分 辨 地 随意 丢弃 分 组 也 不 妥 
当 , 因 为 一 个 包含 确认 信息 的 分 组 可 以 释放 结 点 的 缓冲 区 , 若 因 结 点 无 空余 缓冲 区 来 接 
收 含 确认 信息 的 分 组 ,这 便 使 结 点 缓冲 区 失去 了 释放 的 机 会 。 解 决 这 个 问题 的 方法 可 以 
为 每 条 输入 链 路 永久 地 保留 一 块 缓冲 区 ,以 用 于 接纳 并 检测 所 有 进入 的 分 组 ,对 于 撒 带 
确认 信息 的 分 组 ,在 利用 了 所 有 捕 带 的 确认 释放 缓冲 区 后 ,再 将 该 分 组 丢弃 或 将 该 撒 带 
好 消息 的 分 组 保存 在 刚 空 出 的 缓冲 区 中 。 


3. 许可 证 法 


许可 证 法 又 称 定额 控制 法 。 该 方法 是 在 通信 子 网 中 设置 适当 数量 的 “许可 证 ”的 特 
殊 信息 ,一 部 分 许可 证 在 通信 子 网 开始 工作 前 预先 以 某 种 策略 分 配给 各 个 相关 的 源 结 
点 , 另 一 部 分 则 在 通信 子 网 工作 后 ,允许 其 在 网 络 中 “ 漂 游 ”。 当 源 结 点 要 发 送 来 自 源 端 
系统 的 分 组 信息 时 , 它 必须 首先 拥有 许可 证 ,并 且 每 发 送 一 个 分 组 就 要 注销 一 张 许可 证 。 
目的 结 点 方 则 每 收 到 一 个 分 组 并 将 其 递交 给 目的 端 系统 后 , 便 生成 一 张 许可 证 。 这 样 便 
可 确保 通信 子 网 中 传输 的 分 组 数量 不 会 超过 许可 证 的 数量 ,从 而 能 防止 网 络 死 锁 的 
发 生 。 


习 是 5 


一 、 概 念 题 


. 造成 网 络 拥塞 的 原因 有 哪些 ? 

. 网 络 拥塞 控制 算法 有 哪些 ? 

. 什么 是 噪声 ? 噪声 对 通信 数据 有 何 影响 ? 

. 简 述 数据 校 验 .数据 检 错 、 数 据 自 动 纠 错 的 基本 概念 。 

. 试 述 计算 机 网 络 通信 系统 中 自动 请 求 重 发 .向 前 纠 错 及 反馈 校 验 法 技术 各 自 的 优 


mm mw 


6. 自动 纠 错 技术 是 否 可 纠正 所 有 数据 传输 错误 ? 
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二 、 计算 题 

1. 设 信息 码 为 "1001011”, 求 出 其 奇 校 验 码 。 

2. 设 信息 码 K(X) 二 =X 十 十 XX 十 1( 即 1001011), 求 出 其 校 验 码 的 元 余 码 R(X)。 
3. 设 信息 码 为 1110, 求 出 其 4 位 自动 纠 错 码 。 


第 6 音 ehapter 6- 有 
局 域 网 与 Internet 安全 技术 


本 章 从 网 络 安全 的 基本 概念 入 手 ,着 重 介绍 在 局 域 网 络 及 Internet 网 上 的 实用 安全 
技术 ,主要 内 容 有 局 域 网 与 广域网 安全 技术 无线 网 络 安全 技术 、Web 安全 与 IE 安全 技 
术 电子 邮件 安全 技术 .FTP 安全 技术 、IPv4 及 IPv6 安全 技术 和 Telnet 与 DNS 安全 
技术 。 
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611 局 域 网 络 安全 


1. 局 域 网络 安全 性 分 析 


局 域 网 络 的 安全 涉及 多 个 方面 ,不 仅 有 局 域 网 本 身 的 因素 ,还 有 来 自 外 界 的 恶意 破 
坏 。 其 安全 性 主要 包括 3 个 方面 : 
。 局 域 网 本 身 的 安全 性 ,如 TCP/IP 协议 存在 的 缺陷 ,局 域 网 建设 不 规范 带 来 的 安 
全 隐患 ,或 来 自 局 域 网 内 部 的 人 为 破坏 。 
。 当局 域 网 和 Internet 连接 时 .受到 来 自 外 界 恶 意 的 攻击 ,局域网 对 不 安全 站 点 的 
访问 控制 。 
。 建设 局 域 网 所 用 的 媒介 和 设备 所 存在 的 安全 问题 。 


2. 局 域 网 缺陷 分 析 


TCP/IP 协议 是 一 组 协议 的 总 称 , 即 Internet 网 上 的 协议 得 ,在 Internet 上 ,除了 常 
用 的 TCP 和 IP 协议 之 外 ,还 包括 其 他 的 各 种 协议 。 应 用 层 有 传输 控制 协议 TCP 和 用 户 
数据 报 协 议 UDP; 网 络 层 有 IP 和 ICMP 协议 ,用 于 负责 相 邻 主机 之 间 的 通信 。 很 多 局 域 
网 是 基于 TCP/IP 协议 的 ,由 于 TCP/IP 协议 本 身 的 不 安全 性 ,导致 局 域 网 存在 如 下 安全 
方面 的 缺陷 : 

。 数据 容易 被 窃听 和 截取 。 

。 IP 地 址 容易 被 欺骗 。 

。 缺乏 足够 的 安全 策略 。 
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。 局 域 网 配置 的 复杂 性 。 
3. 局 域 网 安全 技术 


1) 流量 控制 

网 络 必须 对 数据 的 流量 加 以 控制 ,否则 会 发 生 数据 碰撞 和 数据 淹没 ,会 引起 信息 丢 
失 或 者 网 络 挂 起 等 故障 。 

2) 信息 加 密 

信息 加 密 可 以 采用 加 密 软件 的 方法 ,也 可 采用 PGP 加 密 算法 、RSA 加 密 算法 .DES 
加 密 算法 或 IDEA 加 密 算法 。 

3) 网 络 管理 

在 一 个 局 域 网 中 ,为 了 保证 网 络 安全 可靠 地 运行 ,必须 要 有 网 络 管理 措施 。 因 此 ， 
需要 建立 网 络 管理 中 心 或 者 指定 专人 负责 。 其 主要 任务 是 针对 网 络 资源 .网络 性 能 和 
密 钥 进行 管理 ,对 网 络 进行 监视 和 访问 控制 。 

4) 计算 机 病毒 的 防御 

计算 机 病毒 ( 含 计算 机 网 络 病毒 ) 的 有 效 预防 方法 是 经 常 对 系统 进行 病毒 检查 和 杀 
毒 ,购买 正版 的 杀毒 软件 定期 进行 病毒 软件 的 升级 .及 时 对 网 络 操作 系统 Windows 98/ 
2000/XP 打 补 丁 。 


4. 局 域 网 安全 措施 


1) 网 络 分 段 

网 络 分 段 是 保证 安全 的 一 项 重要 措施 ,就 是 将 非法 用 户 与 网 络 资源 相互 隔离 ,从 而 
达到 限制 用 户 非法 访问 的 目的 。 

网 络 分 段 可 分 为 物理 分 段 和 逻辑 分 段 两 种 方式 。 

。 物理 分 段 。 物 理 分 段 通常 是 指 将 网 络 从 物理 层 和 数据 链 路 层 (ISO/OSI 模型 中 的 
第 1 层 和 第 2 层 ) 上 分 为 若干 网 段 ,各 网 段 相 互 之 间 无 法 进行 直接 通信 。 目 前 , 许 
多 交换 机 都 有 一 定 的 访问 控制 能 力 , 可 实现 对 网 络 的 物理 分 段 。 
逻辑 分 段 。 罗 辑 分 段 是 指 将 整个 系统 在 网 络 层 (ISO/OSI 模型 中 的 第 3 层 ) 上 进 
行 分 段 。 例 如 ,对 于 TCP/IP 网 络 , 可 把 网 络 分 成 若干 IP 子 网 ,各 子 网 间 必 须 通 
过 路 由 器 .路 由 交换 机 、 网 关 或 防火 墙 等 设备 进行 连接 ,利用 这 些 中 间 设 备 ( 含 软 
件 及 硬件 ) 的 安全 机 制 来 控制 各 子 网 间 的 访问 。 在 实际 应 用 过 程 中 ,通常 采取 物 
理 分 段 与 逻辑 分 段 相 结 合 的 方法 来 实现 网 络 系统 的 安全 性 控制 。 

2) 以 交换 式 集线器 代替 共享 式 集线器 

对 局 域 网 的 中 心 交换 机 进行 网 络 分 段 后 ,以 太 网 侦 听 的 危险 仍然 存在 。 这 是 因为 网 
络 的 最 终 用 户 的 接 入 往往 是 通过 分 支 集 线 器 而 不 是 中 心 交换 机 ,而 使 用 最 广泛 的 分 支 集 
线 器 通常 是 共享 式 集线器 。 这 样 , 当 用 户 与 主机 进行 数据 通信 时 ,两 台 机 器 之 间 的 数据 
包 ( 单 播 包 ) 还 是 会 被 同一 台 集线器 上 的 其 他 用 户 所 侦 听 。 一 种 很 危险 的 情况 是 ,用 户 远 
程 登录 到 一 台 主 机 上 ,由 于 Telnet 程序 本 身 缺 乏 加 密 功 能 ,用 户 所 输入 的 每 一 个 字符 ( 包 
括 用 户 名 密码 等 重要 信息 ) 都 将 被 明文 发 送 , 这 就 给 黑客 提供 了 机 会 。 
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因此 ,应 该 以 交换 式 集线器 代替 共享 式 集线器 ,使 单 播 包 仅 在 两 个 结 点 之 间 传 送 , 从 
而 防止 非法 侦 听 。 

3) 虚拟 专 网 

虚拟 专 网 技术 主要 基于 近年 发 展 的 局 域 网 交换 技术 (ATM 交换 和 以 太 网 交换 )。 交 
换 技 术 将 传统 的 基于 广播 的 局 域 网 技术 发 展 为 面向 连接 的 技术 。 因 此 ,网 管 系统 有 能 力 
限制 局 域 网 通信 的 范围 而 无 须 通过 开销 很 大 的 路 由 器 。 

以 太 网 从 本 质 上 看 是 广播 机 制 ,但 应 用 了 交换 机 和 VLAN 技术 后 ,实际 上 转变 为 点 
到 点 通信 。 除 非 设置 了 监听 口 ,信息 交换 才 不 会 存在 监听 和 插入 (改变 ) 问 题 ,所 以 运行 
虚拟 网 技术 带 来 的 网 络 安全 的 好 处 是 显而易见 的 。 


612 广域网 络 安全 


由 于 广域网 大 多 采用 公 网 来 进行 数据 传输 ,信息 在 广域网 上 传输 时 被 截取 和 利用 的 
可 能 性 就 比 局 域 网 要 大 得 多 。 

广域网 安全 解决 办 法 主要 依靠 防火 墙 技术 .人 侵 检 测 技术 和 网 络 防 病毒 技术 。 在 实 
际 的 广域网 安全 设计 中 ,往往 采取 上 述 三 种 技术 相 结合 的 方法 。 广 域 网 一 般 采 用 以 下 安 
全 解决 方案 。 


1. 加 密 技术 


加 密 型 网 络 安全 技术 的 基本 思想 是 不 依赖 于 网 络 中 数据 通道 的 安全 性 来 实现 网 络 
系统 的 安全 ,而 是 通过 对 网 络 数据 的 加 密 来 保障 网 络 的 安全 可 靠 性 。 数 据 加 密 技 术 可 以 
分 为 三 类 , 即 对 称 型 加 密 技术 (如 DES 算法 ) 、 非 对 称 型 加 密 技术 (如 RSA 算法 ) 和 不 可 道 
加 密 技术 (如 MD5 算法 ) 。 


2. VPN 技术 


VPN(Virtual Private Network, 虚 拟 专 网 ) 技 术 的 核心 是 采用 隧道 技术 ,将 企业 专 网 
的 数据 加 密封 装 后 , 透 过 虚拟 的 公 网 隧道 进行 传输 ,从 而 防止 敏感 数据 的 被 窃 。VPN 可 
以 在 Internet、 服 务 提供 商 的 IP、 帧 中 继 或 ATM 网 上 建立 。 企 业 通过 公 网 建立 VPN ,就 
如 同 通过 自己 的 专用 网 建立 内 部 网 一 样 ,享有 较 高 的 安全 性 ,优先 性 、 可 靠 性 和 可 管理 
性 ,同时 还 为 移动 计算 提供 了 可 能 。 因 此 ,VPN 技术 一 经 推出 就 深 得 人 心 ,VPN 技术 是 
一 种 很 好 的 安全 技术 。 


3. 身份 认证 技术 


对 于 从 外 部 拨号 访问 总 部 内 部 网 的 用 户 , 由 于 使 用 公共 电话 网 进行 数据 传输 所 带 来 
的 风险 ,必须 更 加 严格 控制 其 安全 性 。 一 种 常见 的 做 法 是 采用 身份 认证 技术 ,对 拨号 用 
户 的 身份 进行 验证 并 记录 完备 的 登录 日 志 。 较 常用 的 身份 认证 技术 ,有 Cisco 公司 提出 
的 TACACS 十 以 及 业界 标准 的 RADIUS 等 。 


FE 个 = 局 域 网 与 ntemet 安 全 技术 115 


613 无 线 局 域 网 安全 


近 几 年 来 ,无 线 局 域 网 发 展 的 势头 越 来 越 猛 , 它 接 入 速率 高 ,组 网 灵活 ,在 传输 移动 
数据 方面 尤其 具有 得 天 独 厚 的 优势 。 但 是 , 随 着 无 线 局 域 网 应 用 领域 的 不 断 拓展 ,其 安 
全 问题 也 越 来 越 受 到 重视 。 

随 着 无 线 技术 运用 的 日 益 广泛 ,无 线 网 络 的 安全 问题 越 来 越 受到 人 们 的 关注 。 通 常 
网 络 的 安全 性 主要 体现 在 访问 控制 和 数据 加 密 两 个 方面 。 访 问 控 制 保证 敏感 数据 只 能 
由 授权 用 户 进行 访问 ,而 数据 加 密 则 保证 发 出 的 数据 只 能 被 所 期 望 的 用 户 所 接收 和 理 
解 。 对 于 有 线 网 络 来 说 ,访问 控制 往往 以 物理 端口 接 入 方式 进行 监控 , 它 的 数据 输出 通 
过 电缆 传输 到 特定 的 目的 地 。 一 般 情况 下 ,只 有 在 物理 链 路 遭 到 破坏 的 情况 下 ,数据 才 
有 可 能 被 泄漏 。 而 无 线 网 络 的 数据 传输 则 是 利用 微波 在 空气 中 进行 辐射 传播 ,因此 只 要 
在 Access Point (AP) 覆 盖 的 范围 内 ,所 有 的 无 线 终端 都 可 以 接收 到 无 线 信 号 ,AP 无 法 
将 无 线 信号 定向 到 一 个 特定 的 接收 设备 ,因此 无 线 的 安全 保密 问题 就 显得 尤为 突出 。 

目前 使 用 最 广泛 的 IEEE 802. 11b 标准 提供 了 两 种 手段 来 保证 WLAN 的 安全 ,SSID 
服务 配置 标示 符 和 WEP 无线 加 密 协议 。SSID 提供 低级 别 的 访问 控制 ,WEP 是 可 选 的 
加 密 方案 , 它 使 用 RC4 加 密 算 法 ,一 方面 用 于 防止 没有 正确 的 WEP 密 钥 的 非法 用 户 接 
入 网 络 , 另 一 方面 只 允许 具有 正确 的 WEP 密 钥 的 用 户 才能 对 数据 进行 加 密 和 解密 。 


1. 无 线 局 域 网 面临 的 网 络 威胁 


目前 ,无 线 网 络 面临 的 网 络 威胁 主要 有 以 下 几 个 方面 。 

偷 听 传输 的 数据 。 可 导致 机 密 数 据 泄漏 曝光 未 保护 的 用 户 赁 据 . 身 份 被 盗用 等 。 
它 还 允许 有 经 验 的 恶意 用 户 收集 与 用 户 的 IT 系统 相关 的 信息 ,然后 利用 这 些 信 
息 攻击 其 他 的 系统 或 网 站 。 

中 途 截获 或 修改 传输 数据 。 如 果 攻 击 者 可 访问 无 线 网 络 ,就 可 插入 恶意 计算 机 来 
中 途 截获 ,修改 或 延迟 两 个 合法 方 的 通信 。 

哄骗 。 无 线 网 络 的 访问 允许 非法 用 户 使 用 有 效 的 方法 来 发 送 看 似 来 自 合 法 用 户 
的 数据 (比如 电子 邮件 欺骗 )。 

免费 下 载 。 入 侵 者 利用 用 户 的 网 络 作 为 自己 访问 Internet 的 跳板 来 进行 文件 下 
载 。 这 虽 不 具有 太 大 的 威胁 ,但 会 大 大 降低 合法 用 户 访问 网 络 的 速度 与 效率 ,而 
且 还 会 降低 用 户 可 用 服务 的 等 级 。 

拒绝 服务 (DoS) 。 无 线 级 信号 干扰 可 通过 一 些 简单 技术 (如 微波 炉 ) 发 出 。 复 杂 
的 攻击 可 通过 低层 无 线 协议 进行 ,而 最 简单 的 攻击 则 是 通过 向 WLAN 发 送 大 量 
的 随机 数据 而 使 网 络 堵 塞 甚至 瘫痪 。 

偶然 威胁 。 某 些 WLAN 功能 可 使 无 意 间 的 攻击 变 得 更 加 严重 。 例 如 ,一 些 访问 
者 可 能 在 启动 便携 式 计算 机 时 无 意 间 连 人 了 用 户 的 网 络 , 然 后 就 会 自动 连接 到 公 
司 的 WLAN 上 。 

恶意 WLAN。 即 使 用 户 的 公司 并 未 部 署 WLAN 或 已 有 足够 的 安全 措施 ,但 用 户 
的 网 络 仍 将 受到 内 部 员工 在 网 络 中 安装 未 授权 WLAN 的 威胁 。 
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针对 上 述 网 络 威胁 ,最 简单 的 对 策 是 按 表 6-1 所 列 出 的 安全 防范 措施 。 


表 6-1 无 线 网 络 安全 威胁 的 防范 措施 


网 络 威胁 


安全 防范 措施 


偷 听 数据 


动态 分 配 并 经 常 定期 更 改 加 密 密 钥 , 密 钥 对 每 个 用 户 会 话 唯一 ,使 用 当前 已 知 的 
方法 无 法 恢复 密 钥 和 访问 数据 


截获 和 修改 数据 


由 于 无 线 客户 端 和 无 线 AP 间 使 用 动态 密 钥 加 密 , 因 此 恶意 用 户 无 法 截获 或 修改 
数据 
客户 端 .RADIUS 服务 器 和 无 线 AP 间 的 相互 身份 验证 使 攻击 者 难以 进行 模拟 


安全 的 网 络 身份 验证 使 未 授权 的 个 人 无 法 连接 网 络 或 引入 哄骗 数据 


免费 下 载 


强身 份 验证 的 要 求 , 禁 止 未 授权 的 网 络 使 用 


安全 访问 控制 可 禁止 网 络 层 的 数据 泛滥 攻击 ,但 当前 没有 预防 低层 DoS 攻击 的 
方法 。 该 问题 将 由 2004 年 的 802. 11i 标准 解决 。 在 更 基本 的 层面 上 ,即使 该 标 
准 也 将 受到 无 线 网 络 干扰 

值得 注意 的 是 ,多 数 已 发 布 的 DoS 攻击 不 会 引起 服务 的 持续 丢失 ,DoS 攻击 源 一 
有 旦 消失 ,服务 立即 恢复 正常 状态 。 从 这 种 意义 上 讲 , 阻 止 网 络 层 DoS 攻击 是 重要 
的 措施 


偶然 威胁 


要 求 安全 身份 验证 的 WLAN 将 消除 非 授权 用 户 偶然 接 人 公司 WLAN 所 带 来 的 
威胁 


恶意 WLAN 


尽管 本 解决 方案 并 未 直接 处 理 恶意 无 线 AP, 但 通过 实施 安全 无 线 解决 方案 (如 
本 方案 ) ,设置 非 正式 WLAN 的 驱动 因素 大 大 减少 

通过 使 用 扫描 网 络 无 线 AP 硬件 地 址 的 软件 工具 和 手提 的 WLAN 检测 设备 , 恶 
意 WLAN 的 问题 也 得 到 了 解决 


2. 无 线 局 域 网 的 安全 技术 


1) 扩展 频谱 技术 
扩展 频谱 技术 在 20 世纪 50 年 代 第 一 次 被 军 方 公开 介绍 , 它 用 来 进行 保密 传输 。 从 


一 开始 它 就 设计 成 抗 噪音 .干扰 ,阻塞 和 未 授权 检测 。 扩 展 频谱 发 送 器 用 一 个 非常 弱 的 
功率 信号 在 一 个 很 宽 的 频率 范围 内 发 射出 去 ,与 窄带 射频 相反 , 它 将 所 有 的 能 量 集中 到 
一 个 单一 的 射频 点 。 


2) 用 户 认证 : 口令 控制 技术 
为 了 无 线 网 络 的 安全 ,在 无 线 网 的 站 点 上 必须 使 用 口令 控制 技术 ,诸如 Novell 


NetWare 和 Microsoft NT 等 网 络 操作 系统 和 服务 器 提供 了 包括 口令 管理 在 内 的 内 建 多 
级 安全 服务 。 口 令 应 处 于 严格 的 控制 之 下 并 经 常 予以 变更 。 由 于 无 线 局 域 网 的 用 户 包 
括 移动 用 户 , 而 移动 用 户 倾向 于 把 笔记 本 计算 机 移 来 移 去 ,因此 ,严格 的 口令 策略 等 于 增 


加 了 一 个 安全 级 别 , 有 助 于 确认 网 站 是 否 正 被 合法 的 用 户 使 用 。 


3) 数据 加 密 


假如 用 户 的 数据 要 求 极 高 的 安全 性 ,需要 采取 一 些 特 殊 的 措施 。 最 高 级 别 的 安全 措 
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施 就 是 在 网 络 上 整体 使 用 加 密 产 品 。 数 据 包 中 的 数据 在 发 送 到 局 域 网 之 前 要 用 软件 或 
硬件 的 方法 进行 加 密 。 只 有 那些 拥有 正确 密 钥 的 站 点 才 可 以 恢复 和 读 取 这 些 数据 。 网 
络 操作 系统 本 身 具 有 加 密 能 力 ,但 基于 每 个 用 户 或 服务 器 ,价位 较 低 的 第 三 方 加 密 产 品 
也 可 以 胜任 ,比如 McAfeeAssicoate 的 NetCrypto 或 Captial Resour-ces Snare 等 加 密 产 
品 能 够 确保 唯 有 授权 用 户 可 以 进入 网 络 、 读 取 数 据 。 鉴 于 第 三 方 加 密 软件 开发 商 致力 于 
加 密 事务 ,并 可 为 用 户 提供 最 好 的 性 能 、 质 量 服务 和 技术 支持 。 

4) 基于 802. 11 的 安全 

本 方法 根据 共享 密 铀 和 LAN 网卡 硬件 地 址 利用 无 线 传输 的 WEP 加 密 和 可 选 的 网 
络 访问 控制 。 

5) 使 用 VPN 技术 

使 用 VPN 技术 保护 WLAN 传输 已 成 为 高 安全 环境 中 一 种 广 受 欢 迎 的 方法 。 它 依 
赖 于 VPN 应 用 程序 固有 的 访问 控制 和 加 密 。 

6) 使 用 IPSec 安全 

IPSec 是 一 种 安全 验证 身份 并 加 密 网 络 IP 数据 包 的 解决 方案 。 很 多 VPN 解决 方案 
使 用 IPSec, 但 此 处 IPSec 的 使 用 在 单个 网 络 范围 内 .用 以 确保 两 台 计 算 机 之 间 进 行 端 对 
端 传输 的 安全 。 尽 管 IPSec 不 是 网 络 硬件 层 实施 的 原 WLAN 保护 措施 的 直接 替代 ,但 
它 和 VPN 一 样 在 很 多 情况 下 是 极 佳 的 解决 方案 。 

7) 关闭 网 络 接 入 点 

无 线 接 入 点 安全 的 关键 是 禁止 非 授权 用 户 访 问 网 络 ,也 就 是 说 ,安全 的 接 入 点 对 非 
授权 用 户 是 关闭 的 。 保 障 无 线 网 络 的 安全 比 保障 有 线 网 络 的 安全 要 困难 得 多 。 因 为 有 
线 网 络 只 有 有 限 个 固定 的 接 入 点 ,而 无 线 网 络 可 以 从 天 线 允 许 范围 内 的 任意 一 点 接 入 。 

8) 设计 天 线 的 放置 位 置 

使 无 线 接 入 点 保持 封闭 的 第 一 步 是 正确 放置 天 线 ,从 而 限制 能 够 到 达 天 线 有 效 范围 
的 信号 量 。 不 要 把 天 线 放 在 靠近 窗户 的 地 方 ,因为 玻璃 不 能 阻挡 无 线 信号 。 天 线 的 理想 
位 置 是 目标 覆盖 区 域 的 中 心 ,并 使 泄露 到 墙 外 的 信号 尽 可 能 的 少 。 不 过 ,完全 控制 无 线 
信号 是 几乎 不 可 能 的 ,所 以 还 需要 同时 采取 其 他 一 些 措施 来 保证 网 络 安全 。 

9) 改变 服务 集 标 识 符 并 且 禁 止 SSID 广播 

服务 集 标识 符 (SSID) 是 无 线 接 人 的 身份 标识 符 , 用 户 用 它 来 建立 与 接 人 点 之 间 的 连 
接 。 这 个 身份 标识 符 是 由 通信 设备 制造 商 设置 的 ,并 且 每 个 厂商 都 用 自己 的 默认 值 。 例 
如 ,3COM 的 设备 都 用 101。 因 此 ,知道 这 些 标 识 符 的 黑客 可 以 很 容易 不 经 过 授权 就 享受 
用 户 的 无 线 服务 。 需 要 给 每 个 无 线 接 人 点 设置 一 个 唯一 并 且 难 以 推测 的 SSID。 

如 果 可 能 的 话 , 还 应 该 禁止 用 户 的 SSID 向 外 广播 。 这 样 ,用 户 的 无 线 网 络 就 不 能 通 
过 广播 的 方式 来 吸纳 更 多 用 户 ,当然 这 并 不 是 说 用 户 的 网 络 不 可 用 ,只 是 它 不 会 出 现在 
可 使 用 网 络 的 名 单 中 。 

10) 禁用 动态 主机 配置 协议 

通过 这 个 策略 ,将 迫使 黑客 去 破解 用 户 的 IP 地 址 . 子 网 掩 码 以 及 其 他 的 TCP/IP 参 
数 。 黑 客 想 接 入 用 户 的 无 线 网 络 ,必须 花 很 长 的 时 间 去 破获 用 户 的 IP 地 址 。 
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11) 禁用 或 修改 SNMP 设置 

如 果 用 户 的 无 线 接 人 点 支持 SNMP, 那么 需要 禁用 它 或 者 修改 默认 的 公共 和 私有 的 
标识 符 。 如 果 不 这 么 做 ,黑客 将 可 利用 SNMP 获取 用 户 网 络 的 重要 信息 。 

12) 使 用 访问 列表 

为 了 更 好 地 保护 用 户 的 网 络 , 尽 可 能 设置 一 个 访问 列表 。 但 是 ,不 是 所 有 的 无 线 接 
入 点 都 支持 这 一 功能 。 如 果 能 够 这 样 做 的 话 ,就 可 以 指定 某 台 机 器 有 权 访 问 接 人 点 。 支 
持 这 项 功能 的 接 入 点 有 时 利用 TFTP( 简 单 文件 传输 协议 ) 定 期 地 来 下 载 更 新 访问 列表 ， 
从 而 避免 了 必须 使 所 有 设备 上 的 列表 保持 同步 的 巨大 管理 麻烦 。 

13) 访问 控制 ,利用 ESSID.MAC 限制 ,防止 非法 无 线 设备 人 侵 

为 了 提高 无 线 网 络 的 安全 性 ,在 IEEE 802. 11b 协议 中 包含 了 一 些 基本 的 安全 措施 ， 
包括 无 线 网 络 设备 的 服务 区 域 认 证 ID(ESSID) .MAC 地 址 访问 控制 以 及 WEP 加 密 等 技 
术 。IEEE 802. 11b 利用 设置 无 线 终端 访问 的 ESSID 来 限制 非法 接 入 。 在 每 一 个 AP 内 
都 会 设置 一 个 服务 区 域 认 证 ID, 每 当 无 线 终端 设备 要 连 上 AP 时 ,AP 会 检查 其 ESSID 
是 否 与 自己 的 ID 一 致 ,只 有 当 AP 和 无 线 终端 的 ESSID 相 匹 配 时 ,AP 才 接 受 无 线 终端 
的 访问 并 提供 网 络 服务 ,如 果 不 符 就 拒绝 给 予 服务 。 利 用 ESSID, 可 以 很 好 地 进行 用 户 
群体 分 组 ,避免 任意 漫游 带 来 的 安全 和 访问 性 能 的 问题 。 

另 一 种 限制 访问 的 方法 就 是 限制 接 人 终端 的 MAC 地址 以 确保 只 有 经 过 注册 的 设备 
才 可 以 接 人 无 线 网 络 。 由 于 每 一 块 无 线 网 卡 拥有 唯一 的 MAC 地 址 ,在 AP 内 部 可 以 建 
立 一 张 *MAC 地 址 控制 表 ”, 只 有 在 表 中 列 出 的 MAC 才 是 合法 可 以 连接 的 无 线 网 卡 , 否 
则 将 会 被 拒绝 连接 。MAC 地 址 控制 可 以 有 效 地 防止 未 经 过 授权 的 用 户 侵入 无 线 网 络 。 

14) 数据 加 密 ,基于 WEP 的 安全 解决 方案 

无 线 网 络 安全 的 数据 加 密 可 以 通过 WEP(Wired Equivalent Privacy) 协 议 来 进行 。 
WEP 是 IEEE 802. 11b 协议 中 最 基本 的 无 线 安全 加 密 措 施 。WEP 是 所 有 经 过 WiFiTM 
认证 的 无 线 局 域 网 络 产品 所 支持 的 一 项 标准 功能 ,由 国际 电子 与 电气 工程 师 协会 (IEEE) 
制定 ,其 主要 用 途 如 下 : 

。 提供 接 人 控制 ,防止 未 授权 用 户 访问 网 络 。 

。 WEP 加 密 算法 对 数据 进行 加 密 ,防止 数据 被 攻击 者 窃听 。 

。 防止 数据 被 攻击 者 中 途 恶 意 算 改 或 伪造 。 

WEP 加 密 采用 静态 的 保密 密 钥 ,各 WLAN 终端 使 用 相同 的 密 钥 访问 无 线 网 络 。 
WEP 也 提供 认证 功能 , 当 加 密 机 制 功 能 启用 .客户 端 要 尝试 连接 上 AP 时 ,AP 会 发 出 
“Challenge Packet” 给 客户 端 ,客户 端 再 利用 共享 密 钥 将 此 值 加 密 后 送 回 存 取 点 以 进行 认 
证 比 对 ,如 果 正 确 无 误 , 才 能 获准 存 取 网 络 的 资源 。AboveCable 所 有 型 号 的 AP 都 支持 
64 位 或 (与 )128 位 的 静态 WEP 加 密 , 能 有 效 地 防止 数据 被 穷 听 盗 用 。 

利用 128 位 WEP 加 密 ,使 得 数据 在 无 线 发 射 之 前 进行 复杂 的 编码 处 理 , 在 接受 之 后 
通过 反 向 处 理 获 取 原 数据 。 这 种 加 密 方式 确保 数据 的 安全 ,即使 数据 泄露 出 去 ,也 不 会 
暴露 数据 的 原 值 。 

由 于 WEP 密 钥 必 须 通过 人 工 手动 设置 ,因此 AboveCable 建议 在 无 线 覆 盖 范 围 不 能 
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太 大 ,终端 用 户 数量 不 能 太 多 , 且 对 安全 要 求 不 是 很 高 的 应 用 环境 下 使 用 该 技术 是 最 经 
济 最 方便 的 。 

无 线 安全 技术 特别 适合 一 些小 型 企业 、 家 庭 用 户 等 小 型 环境 的 无 线 网 络 应 用 ,无 需 
额外 的 设备 支出 ,配置 方便 , 且 安 全 防护 性 好 ,从 终端 的 访问 控制 到 数据 链 路 中 的 数据 加 
密 都 定义 了 有 效 的 解决 方案 。 有 了 这 些 技术 , 用 户 可 以 快速 地 建立 起 一 个 安全 的 无 线 网 
络 环境 , 即 节约 了 成 本 又 可 达到 预计 的 安全 目标 ,使 无 线 网 络 的 使 用 价值 大 大 提高 。 

15) 新 一 代 无 线 安全 技术 一 一 IEEE 802. 11i 

在 某 些 场合 ,如 大 型 企业 ,银行 .证券 行业 ,其 现 有 的 网 络 结构 比较 复杂 且 对 网 络 的 
安全 性 要 求 很 高 , 仅 使 用 基本 的 安全 措施 并 不 能 完全 达到 其 安全 需求 。 为 了 进一步 加 强 
无 线 网 络 的 安全 性 ,IEEE 802. 11 工作 组 目前 正在 开发 作为 新 的 安全 标准 的 IEEE 802. 11i， 
并 且 致 力 于 从 长 远 角度 考虑 解决 IEEE 802. 11 无 线 局 域 网 的 安全 问题 。IEEE 802. 11i 
标准 草案 中 主要 包含 加 密 技术 TKIP (Temporal Key Integrity Protocol) 和 AES( Advanced 
Encryption Standard) ,以 及 认证 协议 IEEE 802. 1x。 

16) 端口 访问 控制 技术 (IEEE 802. 1x) 和 可 扩展 认证 协议 (EAP) 

IEEE 802. 1x 是 一 种 基于 端口 的 网 络 接 入 控制 技术 ,在 网 络 设备 的 物理 接 入 级 对 接 
入 设备 进行 认证 和 控制 。IEEE 802. 1x 可 以 提供 一 个 可 靠 的 用 户 认证 和 密 钥 分 发 的 框 
架 , 可 以 控制 用 户 只 有 在 认证 通过 以 后 才能 连接 网 络 。IEEE 802. 1x 本 身 并 不 提供 实际 
的 认证 机 制 ,需要 和 上 层 认 证 协议 (EAP) 配 合 来 实现 用 户 认证 和 密 钥 分 发 。EAP 允许 无 
线 终端 可 以 支持 不 同 的 认证 类 型 ,能 与 后 台 不 同 的 认证 服务 器 进行 通信 ,如 远程 接 入 用 
户 服务 (RADIUS)。 

17) 综合 使 用 无 线 和 有 线 策略 

无 线 网 络 安全 不 是 单独 的 网 络 架构 , 它 需 要 各 种 不 同 的 程序 和 协议 配合 。 制 定 综合 
利用 有 线 和 无 线 网 络 安全 的 策略 能 够 极 大 地 提高 安全 水 平 。 


614 网 络 安全 体系 结构 


1. OSI 安全 模型 


ISO/OSI 模型 共 分 为 7 个 层次 ,作为 网 络 安全 体系 ,是 贯穿 于 整个 7 层 模型 中 的 ,如 
图 6-1 所 示 。 


2. OSI 分 层 安 全 机 制 


OSI 模型 是 分 层次 的 ,图 6-1 就 是 OSI 层次 模型 中 各 层 提 供 的 安全 功能 和 网 络 所 采 
取 的 对 应 措施 。 

1) 物理 层 安 全 

物理 层 的 信息 安全 主要 是 防止 物理 通路 的 损坏 、 物 理 通 路 的 窃取 以 及 对 物理 通路 的 
攻击 等 。 换 句 话 说 ,物理 层 的 安全 有 连接 的 机 密 性 服务 、 通 信 业 务 流 机 密 性 服务 等 。 其 
具体 的 实现 技术 是 数据 加 密 和 通信 业务 流 填充 机 制 。 
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t 
应 用 层 |--- 一 | 应 用 层 | 主机 安全 措施 、 身份 认证 


LO 未 抬 ] 加 密 、 身份 认证 、 数字 签名 
才 区 及 不 可 在 认 技术 

站 三 二 车 太 -| 身份 认证 、 数据 完整 性 及 
二 会 话 层 | 视窗 性 检查 


|- -一 [CR 内 各 认 证 9 令 、 访 拉 制 


4 Sa 
网 络 层 _|-- -| 网 络 层 当主 区 问 控制 、 加 密 


1 4 
数据 链 路 层 | -| 数据 链 路 层 | 虚 网 划分 与 加 密 
1 


1 
物理 层 “= 一 一 | 物理 层 | 数据 流 加 密 


物理 介质 
图 6-1 OSI 安全 模型 


2) 数据 链 路 层 安 全 

数据 链 路 层 的 安全 需要 保证 通过 网 络 链 路 传送 的 数据 不 被 窃听 ,支持 面向 连接 的 服 
务 和 面向 不 连接 的 服务 。 通 常 可 采用 划分 虚 网 和 加 密 通信 等 手段 。 

3) 网 络 层 安全 

网 络 层 的 安全 需要 保证 网 络 只 给 授权 的 客户 使 用 授权 服务 ,保证 网 络 路 由 正确 , 避 
免 被 栏 截 或 被 监听 。 具 体 的 安全 服务 技术 有 对 等 实体 鉴别 .数据 原 发 鉴别 .访问 控制 鉴 
别 .连接 机 密 性 ,无 连接 的 机 密 性 和 通信 业务 流 机 密 性 等 。 

4) 传输 层 安全 

传输 层 可 提供 的 安全 服务 有 对 等 实体 鉴别 .数据 原 发 鉴别 .访问 控制 鉴别 .连接 机 密 
性 和 无 连接 的 机 密 性 等 。 

5) 会 话 层 安全 

会 话 层 提供 安全 服务 主要 有 会 话 连接 的 数字 签名 技术 及 身份 认证 技术 。 

6) 表示 层 安全 

表示 层 将 支持 经 应 用 层 向 应 用 进程 提供 的 安全 服务 ,连接 机 密 性 、 无 连接 的 机 密 性 、 
通信 业务 流 机 密 性 、 对 等 实体 鉴别 ,数据 原 发 鉴别 数据 原 发 证 明 的 抗 抵 赖 性 以 及 交付 证 
明 的 抗 抵赖 性 等 。 

7) 应 用 层 安全 

应 用 层 提供 的 是 面向 所 有 应 用 进程 应 用 端口 的 安全 。 原 则 上 说 ,应 用 层 的 安全 包 
含 了 所 有 低 6 层 的 安全 。 

8) 操作 系统 安全 

操作 系统 的 安全 主要 要 保证 客户 资料 .操作 系统 访问 控制 的 安全 ,同时 能 够 对 该 操 
作 系 统 上 的 应 用 进行 审计 。 

9) 应 用 平台 安全 

应 用 平台 指 的 是 建立 在 网 络 之 上 的 应 用 软件 服务 ,如 数据 库 服务 .电子 邮件 服务 、 


ES 629 局 域 网 与 niemet 安 全 技术 121 


Web 服务 器 等 。 由 于 应 用 平台 的 系统 非常 复杂 ,通常 可 采用 多 种 技术 来 增强 应 用 平台 的 
安全 性 。 例 如 SSL(Secure Socket Layer, 安 全 套 接 字 层 ) 服 务 。 

10) 应 用 系统 安全 

应 用 系统 的 最 终 目 的 是 为 用 户 服务 。 因 此 ,应 用 系统 的 安全 与 系统 设计 和 实现 关系 
密切 。 应 用 系统 使 用 应 用 平台 提供 的 安全 服务 来 保证 其 安全 ,如 通信 安全 ,通信 双方 的 
认证 和 审计 手段 等 。 

ISO/OSI 模型 的 分 层 安全 机 制 如 表 6-2 所 示 。 

表 6-2 ISO/OSI 模 型 的 分 层 安全 机 制 


OSI 层 安全 机 制 OSI 层 安全 机 制 

应 用 系统 应 用 系统 安全 网 络 层 安全 路 由 /访问 机 制 
应 用 平台 应 用 平台 安全 数据 链 路 层 数据 链 路 安全 
操作 系统 操作 系统 安全 物理 层 物理 层 信息 安全 


3. 网 络 安全 体系 及 实现 技术 


计算 机 网 络 安全 体系 结构 由 网 络 安全 性 .系统 安全 性 .用户 安 全 性 .应 用 程序 安全 性 
以 及 数据 安全 性 等 5 个 层面 组 成 ,其 对 应 的 实现 技术 如 表 6-3 所 示 。 


表 6-3 网 络 安全 体系 结构 及 实现 技术 


安全 层次 安全 内 容 安全 实现 技术 
数据 安全 性 保证 数据 的 安全 密码 技术 
应 用 程序 对 数据 的 合法 访问 权限 和 对 用 户 Ee 
应 用 程序 安全 性。 | 他 全 二 读 问 权 限 访问 控制 技术 和 身份 认证 技术 
用 户 安全 性 防止 非法 用 户 使 用 网 络 分 组 管理 技术 .身份 认证 技术 
保证 客户 资料 .操作 系统 访问 控制 的 安全 ， 
To 防止 计算 机 病毒 和 黑客 对 网 络 的 侵入 和 破坏 | 访问 控制 技术 
网 络 安全 性 防止 数据 外 泄 .保证 数据 传输 的 安全 iti 
络 ) 技 术 
62 Internet 安全 


621 Intemet 网 络 体系 结构 


Internet 网 络 是 基于 TCP/IP 协议 的 ,TCP/IP 协议 又 称 为 TCP/IP 模型 ,是 国际 互 
联网 Internet 的 协议 簇 ,也 是 一 种 分 层 结 构 , 共 分 为 4 层 , 网 络 接口 层 . 互 联网 层 、 传 输 层 
和 应 用 层 。 其 中 网 络 接 口 层 对 应 于 OSI 模型 的 第 1 层 和 第 2 层 ,互联 网 层 对 应 于 OSI 模 
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型 的 第 3 层 , 传 输 层 对 应 于 OSI 模型 的 第 4 层 ,应 用 层 对 应 于 OSI 模型 的 第 5 层 、 第 6 层 


和 第 7 层 ,如 图 6-2 所 示 。 


OSI 参考 异型 TCP/IP 体 系 结构 及 分 层 协议 

应 用 层 | TFTP、FTP、NFS、SMTP 、 
表示 屋 | 应 用 层 | TELNET、 RLOGIN、 SNMP 、 
会 话 层 | DNS、 HTIP 

传输 层 一 一 一 一 |_ 传 输 层 | TCP、UDP 

网 络 层 。 = 一 一 | 互联 网 层 | 1P、 ICMP、 ARP、RARP 
数据 钴 路 层 | 。。 | 网 络 

物理 层 |] | 接口 层 


图 6-2 ”OSI 参考 模型 与 TCP/IP 协议 对 应 关系 
622 TOPIP 安 全 性 分 析 


TCP/IP 的 层次 不 同 提供 的 安全 性 也 不 同 ,例如 ,在 网 络 层 提供 虚拟 私 用 网 络 , 在 传 
输 层 提供 安全 套 接 服务 。 下 面 将 分 别 介绍 TCP/IP 不 同 层次 的 安全 性 和 提高 各 层 安 全 


性 的 方法 。 


协议 模型 网 络 安全 贯穿 于 信息 系统 的 4 个 层次 , 即 网 络 接口 层 、 网 络 层 、 传 输 层 和 应 
用 层 。 为 此 基于 TCP/IP 分 层 模 型 的 网 络 安全 服务 也 是 分 层 的 ,相应 的 不 同 层次 的 网 络 
服务 也 是 不 同 的 ,需要 分 层 进行 配置 。 表 6-4 是 TCP/IP 分 层 模 型 中 提供 的 网 络 安全 服务 。 


表 6-4 TCP/IP 分 层 模型 中 提供 的 网 络 安全 服务 


TCP/IP 协议 
和 网 络 接口 层 互联 网 层 传 输 层 用 层 
对 等 实体 鉴别 时 Y 
数据 源 发 鉴别 Y 村 
访问 控制 服务 肾 和 区 
机 密 性 连接 Y Y 
非 机 密 性 连接 党 Y Y 
选择 字段 机 密 性 入 
通信 业务 流 机密 性 浊 Y 六 
带 恢复 的 连接 完整 性 区 党 
不 带 恢复 的 连接 的 完整 性 全 党 Y 
选择 字段 连接 完整 性 Y 
无 连接 完整 性 Y Y 时 
选择 字段 无 连接 完整 性 ¥ 
抗 否认 和 


YY 一 一 表示 具有 对 应 的 功能 。 
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1. 网 络 接口 层 安全 


网 络 接口 层 是 TCPVIP 的 最 低层 ,包括 OSI 的 物理 层 、 数 据 链 路 层 。 网 络 接口 层 有 
两 种 类 型 : 第 一 种 是 设备 驱动 程序 (如 局 域 网 的 网 络 接口 ) ,第 二 种 是 包含 自身 数据 链 路 
协议 的 复杂 子 系统 (如 X. 25 中 的 网 络 接口 )。 为 保证 通过 网 络 链 路 传送 的 数据 不 被 窃 
听 , 主 要 采用 划分 VLAN、 加 密 通信 (远程 网 ) 等 手段 进行 加 密 。 

对 于 通过 使 用 VPN 业务 连接 多 个 私有 地 点 的 组 织 应 该 使 用 NAT、 防 火 墙 和 数据 加 
密 技术 。 在 VPN 拓扑 结构 中 ,私有 数据 在 公共 网 络 上 传送 ,因此 加 密 是 必须 的 。 第 2 层 
隧道 协议 (L2TP) 就 是 互联 网 工程 任务 组 (IETF) 针 对 在 公共 网 络 上 用 隧道 传送 私有 数据 
而 制定 的 标准 。 作 为 VPN 业务 中 的 一 种 , 光 虚 拟 专 用 网 (OVPN) 是 下 一 代 光 传送 网 “ 智 
能 光 网 络 ? 最 有 潜力 的 增值 业务 。OVPN 的 关键 技术 包括 安全 隧道 与 信息 加 密 技 术 , 即 
使 用 加 密 与 封装 相 结合 的 技术 对 用 户 数据 进行 安全 保护 ;在 VPN 用 户 访问 网 络 资源 及 
管理 员 对 VPN 系统 进行 管理 之 前 ,采用 用 户 认证 技术 进行 身份 认证 ;访问 控制 技术 提供 
细 粒 度 的 访问 控制 功能 以 实现 对 用 户 信息 资源 的 保护 。 

使 用 光 虚 拟 专用 网 不 仅 具 有 共享 的 经 济 性 、 灵 活性 、 可 靠 性 和 可 扩展 性 等 特点 ,更 重 
要 的 是 它 在 光 层 的 安全 性 受到 电信 运营 商 的 重视 ,这 对 于 客户 来 说 费用 支出 更 少 ,而 对 
于 运营 商 来 说 则 有 更 多 的 收入 、 更 安全 的 网 络 。 可 以 说 ,OVPN 服务 对 于 用 户 和 运营 商 
来 说 是 一 种 双赢 的 选择 方案 ,在 将 来 的 智能 光 网 络 领域 有 着 广泛 的 应 用 前 景 。 


2. 互联 网 层 安全 


网 络 层 安全 即 IP 层 安全 性 , 它 的 主要 优点 是 其 透明 性 ,也 就 是 说 ,安全 服务 的 提供 
不 需要 应 用 程序 ,也 不 需要 对 其 他 通信 层次 和 网 络 部 件 做 任何 改动 。 最 主要 的 缺点 是 IP 
层 一 般 对 属于 不 同 进程 的 包 不 作 区 别 。 对 所 有 去 往 同一 地 址 的 包 , 它 将 按照 同样 的 加 密 
密 钥 和 访问 控制 策略 来 处 理 , 这 将 使 得 网 络 安全 性 能 下 降 。 针 对 面向 主机 密 钥 分 配 的 问 
题 ,RFC 1825 推荐 使 用 面向 用 户 的 密 钥 分 配 , 其 中 ,不 同 的 连接 会 得 到 不 同 的 加 密 密 钥 。 
然而 ,面向 用 户 的 密 钥 分 配 需 要 对 相应 的 操作 系统 内 核 作 比 较 大 的 改动 。 

IP 层 非 常 适合 提供 基于 主机 的 安全 服务 .相应 的 安全 协议 可 以 用 来 在 互联 网 上 建立 
安全 的 IP 通道 和 虚拟 专 网 。 例 如 .利用 它 对 IP 包 的 加 密 和 解密 功能 ,可 以 简捷 地 强化 防 
火 墙 系统 的 防卫 能 力 。 

网 络 层 的 安全 性 问题 核心 在 于 网 络 是 否 能 得 到 控制 ,目标 网 站 通过 对 源 IP 进行 分 
析 , 便 能 够 初步 判断 来 自 这 一 IP 的 数据 是 否 安全 ,是 否 会 对 本 网 络 系统 造成 危害 ,来 自 
这 一 IP 的 用 户 是 否 有 权 使 用 本 网 络 的 数据 。 一 旦 发 现 某 些 数 据 来 自 不 可 信任 的 IP 地 
址 ,系统 使 会 自动 将 来 访 者 阻挡 在 系统 之 外 ,并 且 大 多 数 系统 能 够 自动 记录 那些 曾经 造 
成 过 危害 的 IP 地 址 ,使 它们 的 数据 无 法 造成 第 二 次 危害 。 网 络 层 主 要 的 安全 技术 包括 
防火 墙 技术 、IPSec 技术 、 端 口 扫 描 技 术 及 入 侵 检 测 技 术 。 


3. 传输 层 安 全 
传输 层 的 脆弱 性 已 经 成 为 网 络 协议 攻击 的 主要 突破 口 之 一 ,其 漏洞 如 下 : 
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TCP 连接 的 建立 与 终止 。TCP 连接 的 建立 与 断 开 机 制 保证 了 传输 的 可 靠 性 与 速 
度 , 但 是 在 连接 建立 过 程 完成 之 后 ,服务 器 端 不 再 验证 连接 的 另 一 方 是 不 是 合法 
的 用 户 ,这 种 脆弱 性 的 直接 后 果 是 连接 可 能 被 窃取 。 
TCP 连接 请 求 对 队列 的 处 理 方法 看 起 来 很 适用 于 连接 的 实际 情况 ,但 是 很 容易 
出 现 以 下 现象 : 如 果 某 一 用 户 不 断 地 向 服务 器 某 一 端口 发 送 申请 TCP 连接 的 
SYN 请 求 包 , 但 不 对 服务 器 的 SYN 包 发 回 ACK 确认 信息 , 则 无 法 完成 连接 。 当 
未 完成 的 连接 填 满 传输 层 的 队列 时 , 它 不 再 接受 任何 连接 请 求 ,包括 合法 的 连接 
请 求 , 这 样 就 可 能 使 服务 器 端口 服务 挂 起 。 
TCP 连接 的 保持 。TCP 连接 仍旧 能 保持 的 特性 会 造成 当 TCP 连接 上 很 长 时 间 
内 无 数据 被 传送 时 TCP 连接 资源 的 浪费 。 毕 竟 服 务 器 某 个 端口 可 以 存在 的 最 大 
连接 数 有 限 ,保持 着 大 量 不 传输 数据 的 连接 将 极 大 地 降低 服务 器 性 能 ,而 且 在 服 
务 器 的 两 次 探测 之 间 ,可 能 导致 TCP 连接 被 窃取 ,使 得 原来 与 服务 器 连接 的 机 器 
死机 或 重启 。 

由 于 TCP/IP 协议 本 身 非常 简单 ,没有 加 密 、 身 份 认证 等 安全 特性 ,因此 要 向 上 层 应 
用 提供 安全 通信 的 机 制 就 必须 在 TCP 之 上 建立 一 个 安全 通信 和 层次。 传输 层 网 关 就 是 在 
两 个 通信 结 点 之 间 代 为 传递 TCP 连接 并 进行 控制 ,这 个 层次 一 般 称 作 传 输 层 安全 。 同 网 络 
层 安全 机 制 相 比 ,传输 层 安 全 机 制 的 主要 优点 是 它 提供 基于 进程 对 进程 (而 不 是 主机 对 主 
机 ) 的 安全 服务 和 加 密 传输 信道 ,利用 公 钥 体系 进行 身份 认证 ,是 一 种 安全 强度 高 ,支持 用 户 
选择 的 加 密 技术 。 如 果 再 加 上 应 用 级 的 安全 服务 ,就 可 以 提供 更 加 安全 可 靠 的 安全 性 能 。 


4. 应 用 层 安全 


应 用 层 的 缺陷 主要 集中 在 R 系列 命令 中 (rcp、rsh、rlogin 等 ), 这 些 命令 是 基于 可 信 
任 主机 之 间 的 关系 而 设置 的 方便 用 户 登 录 的 方法 ,可 信任 主机 不 需要 口令 也 可 以 通过 R 
系列 命令 登录 进入 目标 系统 。 

在 应 用 层 提 供 安全 服务 有 ,首先 是 对 每 个 应 用 分 别 进行 修改 和 扩展 ,加 入 新 的 安全 
功能 。 例 如 ,在 RFC1421 一 1424 中 ,IETF 规定 了 私有 强化 邮件 (PEM) 为 基于 SMTP 的 
电子 邮件 系统 提供 安全 服务 ,应 用 层 对 防止 系统 遭 病 毒 侵 入 和 黑客 攻击 都 有 极其 重要 的 
作用 。 另 外 ,应 用 层 还 可 以 使 用 应 用 平台 提供 的 安全 服务 ,如 采用 通信 内 容 安全 保护 、 通 
信和 双方 的 认证 、 审 计 等 手段 来 保证 基本 安全 。 

在 安全 性 设计 中 包含 的 任务 与 网 络 总 体 设计 所 包含 的 任务 是 一 致 的 ,分 析 网 络 安全 
需求 和 目标 ,对 其 复杂 性 作出 折 中 ,因为 任何 网 络 没有 绝对 的 安全 ,安全 的 保护 和 策略 越 
复杂 , 则 投入 的 网 络 运营 成 本 越 高 。 因 此 , 较 理想 的 安全 机 制 是 找到 两 者 的 平衡 点 ,制定 
出 一 种 合适 的 安全 策略 。 
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1. 安全 漏洞 


1) 安全 漏洞 
安全 漏洞 是 指 任意 允许 非法 用 户 未 经 授权 获得 访问 或 提高 访问 层次 的 硬件 和 软件 。 
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1977 年 ,为 了 改善 不 同 制造 商 生产 的 系统 之 间 的 通信 ,国际 标准 化 组 织 (ISO) 开 发 了 开 
放 系 统 互 连 参 考 模型 (OSID) 。 在 OSI 的 每 一 层 ,数据 存在 的 方式 和 遵守 的 协议 各 不 相同 。 
其 中 TCP/IP( 传 输 控制 协议 和 网 际 协 议 ) 和 UDP( 用 户 数据 报 协议 ) 是 该 模型 的 基本 协 
议 ,而 这 些 协 议 在 开始 制定 时 就 没有 考虑 通信 路 径 的 安全 性 ,从 而 导致 了 网 络 上 的 远程 
用 户 读 、 写 系统 文件 或 执行 根 和 非 根 拥有 的 文件 并 通过 网 络 进行 传送 、 跨 越 防火 墙 读 或 
写 系 统 文件 等 安全 漏洞 。 从 纯 技术 的 角度 上 说 ,缺乏 安全 防护 设备 与 管理 系统 、 缺 乏 通 
信 协 议 的 基本 安全 机 制 . 基 于 HTTP 与 FTP 上 的 应 用 软件 问题 以 及 不 够 完善 的 服务 程 
序 等 也 是 产生 安全 漏洞 的 主要 原因 。 

2) 常见 的 黑客 攻击 点 

黑客 进行 网 络 攻 击 主要 寻找 计算 机 固有 的 安全 漏洞 . 常 从 以 下 几 个 方面 进行 攻击 。 

(1) 身份 认证 和 访问 控制 管理 部 分 。 

黑客 能 够 成 功 入 侵 网 络 的 主要 原因 是 身份 认证 和 访问 控制 机 制 不 够 完备 。 所 有 身 
份 认 证 系统 的 核心 是 检查 用 户 身份 并 判定 用 户 具 有 何 种 访问 权限 ,而 能 否 得 到 用 户 的 口 
令 是 黑客 人 侵 成 败 的 关键 。 黑 客 常 采用 猜测 ` 利 用 一 些 口令 软件 .采用 嗅 探 程序 滤 出 口 
令 ,. 利 用 TSR 驻 留 程序 监视 用 户 登 录 等 办 法 获取 口令 。Internet 上 的 许多 黑客 站 点 可 以 
免费 下 载 一 些 刺 探 软 件 ,为 黑客 人 侵 提供 了 方便 。 所 以 用 户 在 选择 口令 时 ,不 要 图 简单 
易 记 而 忽略 了 设 定 口令 应 该 遵守 的 基本 规则 。 

(2) 通信 协议 部 分 。 

TCP/IP 协议 艇 是 所 有 协议 的 基础 。 在 发 送信 息 时 常 包 含 源 地 址 .目标 地 址 和 端口 
号 等 信息 ,所 以 TCP 协议 .IP 协议 和 UDP 协议 成 为 黑客 攻击 的 主要 目标 。 利 用 这 些 协 
议 自身 存在 的 隐患 进行 攻击 的 手段 很 多 ,主要 包括 IP 地 址 欺骗 (IP spoofing) 、IP 碎片 袭 
击 .TCP 序号 攻击 和 UDP 欺骗 等 。 

(3) 应 用 软件 部 分 。 

OSI 模型 的 应 用 层 管理 访问 远程 系统 所 提供 服务 的 程序 请 求 , 它 包括 FTP、NFS 和 
TFTP 等 文件 传输 服务 .远程 登录 应 用 (Telnet 、rsh、rcp 和 rlogin) 服 务 和 电子 邮件 (SMTP) 
服务 .Internet 新 闻 服 务 (NNTP) 以 及 网 络 管理 服务 (SNMP) 等 ,而 这 些 服务 都 以 IP、 
TCP 和 UDP 协议 为 基础 。 如 果 管理 不 当 ,Internet 实现 的 这 些 服务 也 会 带 来 安全 隐患 。 
这 些 服务 应 遵守 仅 完成 所 请 求 服务 的 原则 ,避免 给 系统 带 来 不 必要 的 损失 。 

(4) 网 络 服务 器 部 分 。 

随 着 多 媒体 技术 的 发 展 ,人 们 由 网 络 上 的 静态 文本 需求 转化 为 视频 、 音 频 及 图 像 等 
多 媒体 需求 ,20 世纪 90 年 代 引 入 的 Web 服务 器 与 Internet Explorer 和 Netscape 等 浏览 
器 的 结合 基本 满足 了 这 一 要 求 。Web 是 一 个 基于 Internet/Intranet 的 、 全 球 连接 的 、 分 
布 的 ,动态 的 和 多 平台 的 交互 式 超 媒体 信息 系统 , 它 经 历 了 静态 文档 、 动 态 交 互 界面 和 电 
子 商务 3 个 重要 阶段 。Web 浏览 器 和 Web 服务 器 之 间 遵 守 HTTP 协议 。 它 与 绝 大 多 
数 服务 不 同 ,在 用 户 从 Web 服务 器 上 检索 信息 的 时 候 , 它 不 生成 和 维护 一 个 单独 的 会 
话 。 一 个 带 有 许多 图 形 的 Web 页 面 需要 生成 多 个 同时 运行 的 连接 才能 装 人 浏览 器 中 ， 
Web 浏览 器 常常 为 了 读 取 一 个 Web 页 面 生成 几 十 个 会 话 ,这 就 为 黑客 窃听 和 截取 信息 
提供 了 可 乘 之 机 。 
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另外 ,Gopher 也 是 一 种 功能 强大 结构 简单 的 文件 检索 工具 。Gopher 服务 器 可 以 彼 
此 连接 起 来 ,用 户 可 以 透明 地 在 多 个 系统 上 检索 文件 信息 ,Gopher 客户 和 Gopher 服务 
器 之 间 遵 守 Gopher 协议 。 由 于 Gopher 和 Web 服务 器 的 软件 结构 庞大 而 且 复 杂 , 存 在 
着 许多 安全 隐患 ,HTTP 协议 和 Gopher 协议 不 适合 传递 保密 信息 ,而 SHTTP 协议 和 
SSL 协议 则 解决 了 保密 信息 的 传输 问题 。 

许多 网 络 服务 器 使 用 的 是 UNIX 操作 系统 ,基于 该 操作 系统 的 网 络 模块 都 是 从 BSD 
(伯克利 大 学 系统 分 发 版 本 ) 的 UNIX 系统 中 的 网 络 代码 派生 出 来 的 ,而 BSD 系统 的 网 
络 部 门 的 代码 流传 较 广 , 攻 击 者 通过 对 其 分 析 就 能 发 现 部 分 网 络 模块 中 的 缺陷 ,从 而 找 
到 访问 系统 的 攻击 点 。 


2. 常用 防范 措施 及 其 缺陷 


针对 上 述 的 安全 漏洞 ,通常 采用 路 由 器 技术 和 防火 墙 技术 进行 防范 。 

1) 路 由 器 技术 

路 由 器 是 一 种 多 端口 设备 ,在 网 络 上 按照 协议 对 数据 帧 进行 转发 。 路 由 器 位 于 一 个 
或 多 个 网 段 的 交界 处 , 它 工 作 在 网 络 层 和 传输 层 。 在 网 络 层 , 当 路 由 器 遇 到 一 个 IP 包 
时 , 它 便 检 查 IP 包 中 的 目的 IP 地 址 ,并 与 路 由 选择 表 中 的 项 目 进 行 比较 。 如 果 匹 配 ,路 
由 器 则 依照 表 中 的 指示 转发 IP 包 , 如 果 不 匹配 , 且 没 有 默认 的 路 由 选择 ,IP 包 便 被 滤 掉 。 
在 传输 层 , 路 由 器 利用 TCP 报头 中 的 源 端 口号 .目的 端口 号 和 TCP 标志 (如 SYN 和 
ACK 标志 ) 进 行 包 过 滤 。 路 由 器 可 以 阻塞 广播 信息 和 不 知名 地 址 的 传输 ,达到 保护 内 部 
安全 的 目的 。 

路 由 器 只 在 IP 和 TCP 层 工作 ,而 IP 层 和 TCP 层 与 应 用 层 的 问题 毫 不 相关 ,但 是 由 
于 它 考虑 的 只 是 IP 层 和 TCP 层 的 地 址 、 端 口号 和 TCP 标志 等 信息 作为 判定 过 滤 与 否 的 
唯一 依据 ,并 没有 对 其 他 安全 需求 做 出 说 明 , 因 此 路 由 器 不 能 对 通过 高 层 协议 进行 的 攻 
击 实现 有 效 的 检测 。 另 外 ,对 于 一 些 协 议 如 UDP( 没 有 TCP 标志 位 ACK) 和 远程 程序 调 
用 (CRPC) 很 难 进行 过 滤 。 路 巾 器 防范 人 侵 的 主要 措施 就 是 根据 系统 要 求 确定 路 由 规则 ， 
设计 包 过 滤 访 问 列表 (ACL) ,能 否 达 到 安全 要 求 取决 于 对 通信 协议 及 行为 的 理解 。 

在 许多 包 过 滤器 的 实现 中 ,过 滤 规 则 的 数量 也 受到 一 定 限制 。 随 着 规则 数目 的 提 
高 ,需要 额外 的 方法 对 附加 规则 进行 处 理 , 因 此 相应 的 成 本 也 会 提高 。 路 由 器 的 另 一 个 
缺点 是 在 许多 包 过 滤 实 施 中 缺乏 审计 和 报警 装置 。 

总 之 ,多 数 路 由 器 采用 静态 分 组 过 滤 来 控制 网 络 信息 传输 , 它 适 用 于 对 安全 要 求 不 
是 很 高 的 场合 。 实 际 应 用 中 一 般 与 防火 墙 结合 使 用 ,从 而 达到 更 加 安全 的 效果 。 

2) 防火 墙 技术 

目前 保护 网 络 安全 最 主要 的 手段 之 一 是 构筑 防火 墙 , 它 一 般 位 于 开放 的 、 不 安全 的 
公共 网 与 内 部 局 域 网 之 间 , 用 于 实现 两 个 网 络 之 间 的 访问 控制 和 安全 防范 。 防 火 墙 技术 
详 见 第 8 章 。 

3. Web 面临 的 安全 威胁 

Web 服务 所 面临 的 安全 威胁 可 归纳 为 两 种 .一 种 是 机 密 信息 所 面临 的 安全 威胁 , 另 
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一 种 是 WWW 服务 器 和 浏览 器 主机 所 面临 的 安全 威胁 。 其 中 ,前 一 种 安全 威胁 是 Internet 
上 各 种 服务 所 共有 的 ,而 后 一 种 威胁 则 是 由 扩展 Web 服务 的 某 些 软 件 所 带 来 的 。 这 两 
种 安全 隐患 也 不 是 截然 分 开 的 ,而 是 共同 存在 并 相互 作用 的 ,尤其 是 后 一 种 安全 威胁 的 
存在 ,使 得 保护 机 密 信息 的 安全 更 加 困难 。 


4. WWW 服务 器 和 浏览 器 主机 所 面临 的 安全 威胁 


1) CGI 通用 网 关 程 序 所 带 来 的 威胁 

CGI 是 英文 Common Gateway Interface( 通 用 网 关 接 口 ) 的 缩写 , 它 在 服务 器 端 与 
Web 服务 器 相互 配合 ,响应 远程 用 户 的 交互 性 请 求 。 它 允许 用 户 选 择 一 种 语言 ,如 C/ 
C++ ,Perl .UNIX Shell、VB 等 进行 编程 ,提供 在 服务 器 端 和 远程 浏览 之 间 的 信息 交互 
能 力 。 

CGI Script 是 Web 安全 漏洞 的 主要 来 源 。 其 安全 漏洞 存在 于 以 下 3 个 方面 。 

。 会 泄露 主机 系统 的 信息 ,容易 导致 黑客 入 侵 。 

。 当 服 务 器 处 理 远 程 用 户 输入 的 某 些 信息 (如 表格 ) 时 , 易 被 远程 用 户 攻击 。 

。 不 规范 的 第 三 方 CGI 程序 ,或 存 有 恶意 的 客户 发 布 给 Web 服务 器 的 CGI 程序 ， 

会 对 Web 服务 器 造成 物理 或 逻辑 上 的 损坏 ,其 至 将 Web 服务 器 上 的 整个 硬盘 信 
息 复制 到 Internet 的 某 一 台 主 机 上 。 

2) Java 小 程序 所 带 来 的 威胁 

Java 是 由 美国 Sun Microsystems 公司 于 1995 年 推出 的 一 种 跨 平台 和 具有 交互 能 力 
的 计算 机 程序 语言 ,有 具有 简单 、 面 向 对 象 、 分 布 式 、 健 壮 、 安 全 结构 中 立 、 可 移植 高 效 、 多 
线程 和 动态 等 优点 。Java 小 程序 由 浏览 器 进行 解释 并 在 客户 端 执行 ,因此 把 安全 风险 直 
接 从 服务 器 端 转移 到 了 客户 端 。 

尽管 在 实现 Java 小 程序 时 进行 了 很 多 安全 方面 的 考虑 ,但 在 发 行 后 的 很 短 时 间 内 ， 
在 Java 中 就 发 现 了 很 多 由 于 具体 实现 的 Bug 而 引起 的 安全 漏洞 。 

在 Netscape 2.0 中 Java 的 实现 中 存在 一 些 特殊 的 安全 漏洞 .例如 任意 执行 机 器 指令 
的 能 力 .Applet( 小 程序 ) 的 相互 竞争 力 和 与 随意 的 主机 建立 连接 的 能 力 。 

此 外 ,Java Script 作为 Java Applet 在 IE、NetScape 中 的 实现 语言 ,还 存在 着 以 下 一 
些 安全 漏洞 。 
可 以 欺骗 用 户 , 会 将 本 地 硬盘 或 连 在 网 络 上 的 磁盘 上 的 文件 传输 到 Internet 上 的 
任意 主机 。 
能 获得 用 户 本 地 硬盘 和 任何 网 络 盘 上 的 目录 列表 。 
能 监视 用 户 某 段 时 间 内 访问 过 的 所 有 网 页 ,捕捉 URL 并 将 它们 传送 到 Internet 
上 的 某 台 主机 中 。 
能 够 不 经 用 户 允 许 而 触发 NetScape Navigator 发 送出 E-mail 信息 。 

3) ActiveX 控件 所 带 来 的 威胁 

ActiveX 是 微软 在 其 组 件 对 象 模型 (component object model) 之 上 建立 的 一 种 理论 
和 概念 ,同时 也 是 一 种 新 的 编程 标准 ,可 以 用 任何 一 种 面向 对 象 的 语言 加 以 实现 ,如 VC、 
VB 等 ,用 这 种 规范 建立 起 来 的 ActiveX 控件 真正 实现 了 多 语言 编程 的 无 缝 连接 ,同时 ， 
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这 种 控件 也 可 以 嵌入 HTML 文本 中 ,形成 一 定 功 能 的 程序 模块 。 

由 于 ActiveX 控件 被 嵌入 到 HTML 页 面 中 ,并 下 载 浏览 器 端 加 以 执行 ,因此 会 给 浏 
览 器 端 造成 一 定 程度 的 安全 威胁 。 此 外 ,目前 已 有 证 据 表明 ,在 客户 端的 浏览 器 中 ,如 在 
IE 中 插入 某 些 ActiveX 控件 ,也 将 直接 对 服务 器 端 造成 意 想不到 的 安全 威胁 。 

另外 ,内 内 于 正 的 VB Script 语言 ,用 这 种 语言 生成 的 客户 端 可 执行 的 程序 模块 ,也 
同 Java 小 程序 一 样 ,有 可 能 给 客户 端 带 来 安全 性 能 上 的 漏洞 。 此 外 ,还 有 一 些 新 技术 ,如 
ASP(Active Server Pages) 技 术 , 由 于 用 户 可 以 为 ASP 的 输出 随意 增加 客户 脚本 、ActiveX 
控件 和 动态 HTML ,因此 在 ASP 脚本 中 同样 也 都 存在 着 一 定 的 安全 隐患 。 


63 Web 安 全 与 臣 安 全 


631 Web 安 全 漏洞 分 析 


1. Web 漏洞 


典型 的 Web 漏洞 如 下 : 

。 操作 系统 的 安全 漏洞 。 比 如 由 于 操作 系统 本 身 的 漏洞 ,使 得 未 授权 的 用 户 可 以 获 
得 Web 服务 器 上 的 秘密 文件 .目录 或 重要 数据 。 

明文 或 弱 口 令 漏 洞 。 当 远程 用 户 向 服务 器 发 送信 息 时 ,特别 是 信用 卡 之 类 ,中 途 
可 能 会 被 网 络 攻击 者 非法 拦截 。 如 果 客户 和 服务 器 间 的 通信 是 明文 或 弱 口 令 加 
密 方式 ,并 且 传 输 的 信息 是 明文 形式 ,一 切 都 会 暴露 ;或 者 虽然 经 过 加 密 ,但 加 密 
的 口令 仍 是 弱 口 令 , 密 文 仍然 可 能 会 被 网 络 攻击 者 解密 。 

Web 服务 器 本 身 存 在 的 一 些 漏洞 ,使 得 非法 用 户 能 侵入 到 主机 系统 破坏 重要 的 
数据 ,甚至 造成 系统 瘫痪 。 

CGI 安全 方面 的 漏洞 。 用 CGI 脚本 编写 的 程序 当 涉及 到 远程 用 户 从 浏览 器 中 输 
人 表格 (form) 并 进行 检索 (search index) 或 Form-mail 之 类 在 主机 上 直接 操作 命 
令 时 ,会 给 Web 主机 系统 造成 危险 。 因 此 ,从 CGI 角度 考虑 Web 的 安全 性 ,主要 
是 在 编制 程序 时 ,应 详细 考虑 到 安全 因素 ,尽量 避免 CGI 程序 中 存在 漏洞 。 


2. Web 服务 器 版 本 漏洞 分 析 


早期 版 本 的 HTTP 存在 明显 的 安全 漏洞 , 即 客户 计算 机 可 以 任意 地 执行 服务 器 上 面 
的 命令 ,现在 的 Web 服务 器 已 弥补 了 这 个 漏洞 。 

因此 ,不 管 是 配置 服务 器 ,还 是 在 编写 CGI 程序 时 都 要 注意 系统 的 安全 性 。 尽 量 堵 
住 任何 存在 的 漏洞 ,创造 安全 的 环境 。 在 具体 服务 器 设置 及 编写 CGI 程序 时 应 该 注意 以 
下 几 点 。 

。 禁止 乱用 从 其 他 网 站 下 载 的 工具 软件 ,并 在 没有 详细 了 解 之 前 尽量 不 要 用 root 

身份 注册 ,以 防止 程序 中 设 下 的 陷阱 。 
。 在 选用 Web 服务 器 时 ,应 考虑 到 不 同 服务 器 对 安全 的 要 求 不 一 样 。 某 些 简单 的 
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Web 服务 器 就 没有 考虑 到 安全 的 因素 ,不 能 把 他 用 作 商 业 应 用 ,只 作 一 些 个 人 的 
网 点 。 

。 注意 ,在 利用 Web 中 的 “. htpass" 来 管理 和 校 验 用 户口 令 时 ,存在 校 验 的 口令 和 
用 户 名 不 受 次 数 限制 。 


632 ”Web 服务器 安全 性 分 析 


1. Web 欺骗 


Web 欺骗 允许 攻击 者 将 对 一 个 正常 Web 访问 流量 全 部 引入 到 另 一 个 攻击 者 的 Web 
服务 器 ,经 过 攻击 者 机 器 的 过 滤 作用 ,允许 攻击 者 监控 受 攻击 者 的 任何 活动 ,包括 账户 和 
口令 。 攻 击 者 也 能 以 受 攻击 者 的 名 义 将 错误 或 者 易于 误解 的 数据 发 送 到 真正 的 Web 服 
务 器 ,并 能 以 任何 Web 服务 器 的 名 义 发 送 数 据 给 受 攻击 者 。 简 而 言 之 ,攻击 者 观察 和 控 
制 着 受 攻击 者 在 Web 上 做 的 每 一 件 事 。 


2. Web 服务 器 安全 预防 措施 


对 Web 服务 器 有 下 面 的 安全 预防 措施 。 

。 对 在 Web 服务 器 上 新 开 的 账户 ,在 口令 长 度 及 定期 更 改 方面 作出 要 求 ,防止 被 
盗用 。 

尽量 使 FTP, Mail 等 服务 器 与 Web 服务 器 分 开 , 关 掉 FTP ,Sendmail.TFTP NIS、 
NFS Finger\Netstat 等 一 些 无 关 的 服务 。 

在 Web 服务 器 上 删除 一 些 绝对 不 用 的 shell 之 类 解释 器 ,如 果 在 CGI 程序 中 没 用 
到 perl 时 ,就 尽量 把 perl 从 系统 解释 器 中 删除 。 

定期 查看 服务 器 中 的 日 志 logs 文件 ,分 析 一 切 可 疑 事件 。 如 果 在 errorlog 中 出 
现 rm login /bin/perl /bin/sh 等 之 类 记录 时 ,说 明 服务 器 可 能 已 受到 了 非法 用 
户 的 入 侵 。 

设置 Web 服务 器 上 系统 文件 的 权限 和 属性 ,给 可 让 访问 的 文档 分 配 一 个 公用 的 
组 ,比如 可 将 WWW 设置 为 只 读 权限 。 把 所 有 的 HTML 文件 归属 WWW 组 ,由 
Web 管理 员 管 理 WWW 组 ,对 于 Web 的 配置 文件 只 有 Web 管理 员 才 有 写 的 
权限 。 


633 ”IE 浏览 器 安全 


1. 安全 级 别 设 定 


如 果 想 屏蔽 Cookie 与 ActiveX 控件 功能 ,可 以 很 容易 地 通过 IE 的 安全 级 别 设 定 功 
能 加 以 实现 。 

IE 的 安全 机 制 共 分 为 高 .中 .中 低 、 低 4 个 级 别 ,分 别 对 应 着 不 同 的 网 络 功能 。 高 级 
是 最 安全 的 浏览 方式 ,但 功能 最 少 ,而 且 由 于 禁用 Cookies 可 能 造成 某 些 需要 进行 验证 
的 站 点 不 能 登录 ;中 级 是 比较 安全 的 浏览 方式 ,能 在 下 载 潜 在 的 不 安全 内 容 之 前 给 出 提 
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,同时 屏蔽 了 ActiveX 控件 下 载 功 能 ,适用 于 大 多 数 站 点 ;中 低 的 浏览 方式 接近 于 中 
,但 在 下 载 潜在 的 不 安全 内 容 之 前 不 能 给 出 提示 ,同时 ,大 多 数 内 容 运行 时 都 没有 提 
,适用 于 内 部 网 络 ; 低 级 别 的 安全 机 制 不 能 屏蔽 任何 活动 内 容 , 大 多 数 内容 自 动 下 载 并 
行 ,因此 , 它 只 能 提供 最 小 的 安全 防护 措施 。 

操作 步骤 , 单 击 下 浏览 器 “工具 ”|“Internet 选项 "| “安全”, 在 安全 级 别 设置 窗口 下 ， 
简单 拖 动 滑 块 就 能 完成 安全 级 别 的 设 定 。 


2. 禁用 自动 完成 功能 


IE 的 自动 完成 功能 非常 实用 ,可 以 让 用 户 实现 快速 登录 ,快速 填写 的 目的 ,但 它 的 缺 
陷 也 同样 明显 。 许 多 站 点 ,在 进行 登录 时 会 自动 搜索 与 读 取 用 户 的 历史 操作 以 便 获 取 用 
户 信息 ,包括 在 地 址 栏 中 输入 的 历史 地 址 ,以 及 一 些 填 过 的 表单 信息 ;同时 ,对 于 经 常 在 
网 吧 上 网 ,又 不 想 让 其 他 人 知道 自己 历史 操作 的 朋友 ,最 好 禁用 IE 的 自动 完成 功能 , 因 
为 后 来 者 只 需 单 击 “ 历 史 ” 按 钮 就 能 让 你 的 所 有 隐私 无 所 通 形 。 

操作 步骤 , 单 击 “ 工 具 ”|“Internet 选项 ”1“ 内 容 ”1“ 自 动 完成 ”, 在 对 话 框 中 清除 相应 
栏目 前 面 的 选 定 符号 就 行 了 。 


3. 清除 历史 记录 


“历史 ”记录 也 是 非常 有 用 的 一 项 功能 ,但 对 于 公共 用 户 , 极 容易 造成 个 人 隐私 的 泄 
露 ,因此 ,建议 在 离开 计算 机 前 清除 历史 纪录 。 

操作 步骤 , 单 击 “ 工 具 ”|“ 常 规 ”1“ 清 除 历史 记录 ”。 

如 果 要 清除 单个 网 址 记录 ,可 以 直接 单 击 “ 历 史 ” 按 钮 ,找到 要 删除 的 网 址 , 单 击 鼠 标 
右键 ,在 弹出 的 下 拉 式 菜单 中 选择 “删除 ”命令 。 


4. 彻底 清除 Cookies 


y 
a 


六 洽 


i 


芒 


IE 的 “历史 ”记录 并 不 是 唯一 记录 上 网 操作 过 程 的 地 方 , 许 多 站 点 在 用 户 访问 时 会 在 
用 户 计算 机 里 放置 一 些小 文件 用 以 跟踪 用 户 姓 名 ,密码 和 访问 时 间 等 信息 ,而 这 些小 文 
件 就 是 Cookies。 可 以 通过 安全 机 制 的 设 定 禁 止 Cookies 功能 ,注意 ,在 这 种 情况 下 是 不 
能 访问 需要 Cookies 验证 的 网 站 。 

彻底 清除 Cookies 的 步骤 ,在 IE 的 “Internet 选项 ”中 单 击 “ 删 除 Cookies” 按 钮 即 可 。 


5. 启用 分 级 审查 功能 


操作 步骤 , 单 击 正 浏览 器 的 “工具 ”|*Internet 选项 ”|“ 内 容 ”|1“ 分 级 审查 ”功能 ,并 单 
击 “ 启 用 ”按钮 ,将 会 看 到 如 图 6-3 所 示 的 对 话 框 ,可 以 看 到 分 级 审查 功能 ,共有 4 个 审查 
标准 ,只 需 拖 动 滑动 条 进行 设置 。 分 级 审查 设 定 完 成 后 会 自动 弹出 一 个 “创建 监督 人 密 
码 "的 对 话 框 ,如 图 6-4 所 示 。 这 时 ,输入 监督 人 密码 后 单 击 “ 确 定 ” 按 钮 。 该 密码 是 保护 
“分 级 审查 ”级 别 的 设置 。 当 用 户 再 次 要 进入 “内 容 审查 程序 ”( 如 图 6-3 所 示 ) 进 行 分 级 审 
查 设置 时 ,必须 提供 正确 的 密码 。 

分 级 审查 功能 用 以 限制 对 具有 暴力 、 色 情 及 反动 内 容 的 网 页 图片 或 文字 进行 浏览 。 
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内 容 审 查 程序 


记 和 各 类 别 ， 厅 看 组 (SY; 
EAC 


创建 监督 人 密码 


调节 谐 决 可 以 指定 用 尸 能 够 查看 哪些 内 容 {D) 


一 


“到 0” 夫 守 性 的 语言 


描述 
不 令 人 讨 大 的 言语 :没有 麻 肖 的 语言 。 


te 提供 的 提示 不 应 该 让 其 地 


要 查看 读 邹 姑 服 务 的 Internet 页 , 请 单 击 ” [注油 证 已 全 一 ) 
二 EE Tm Wy 


| 
图 6-3 内 容 审查 图 6-4 设置 密码 


64 电子 邮件 安全 


641 电子 邮件 安全 性 分 析 


由 于 电子 邮件 的 发 送 是 要 通过 不 同 的 路 巾 器 进行 转发 ,直至 到 达 电子 邮件 最 终 接收 
主机 ,攻击 者 可 以 在 电子 邮件 数据 包 经 过 路 由 器 的 时 候 把 它们 截取 下 来 ,而 且 发 件 人 对 
邮件 是 否 被 截获 是 毫 不 知情 的 。 

使 用 电子 邮件 就 像 在 邮局 发 送 一 封 没有 封口 的 信 一 样 的 不 安全 。 从 技术 上 看 ,没有 
任何 方法 能 够 阻止 攻击 者 截取 电子 邮件 数据 包 。 唯 一 的 办 法 就 是 让 攻击 者 截获 了 数据 
包 但 无 法 阅读 它 , 就 是 对 电子 邮件 加 密 。 当 对 电子 邮件 加 密 后 ,只 要 加 密 算法 和 密 钥 足 
够 强大 ,那么 即使 攻击 者 截获 了 邮件 数据 也 不 能 看 到 或 修改 邮件 的 内 容 。 

电子 邮件 的 收发 方式 有 两 种 ,一 种 是 通过 Web 页 方式 收发 信件 , 即 用 浏览 器 登录 到 
主页 来 进行 收发 ; 另 一 种 是 使 用 邮件 客户 端 , 如 Outlook 和 Foxmail, 使 用 这 种 方法 的 前 
提 是 邮件 服务 器 必须 支持 POP 协议 。 目 前 多 数 的 免费 信箱 都 支持 这 两 种 方式 。 

当 用 Web 页 方式 收发 信件 时 会 存在 以 下 问题 。 


1. 缓存 漏洞 


对 于 多 数 的 浏览 器 来 说 ,为 了 提高 浏览 速度 ,系统 会 自动 将 最 近 浏览 过 的 网 页 保存 
到 硬盘 的 某 个 临时 文件 夹 里 ,这 个 文件 夹 称 为 缓存 (cache) 。 当 用 户 打开 的 网 页 关闭 的 时 
候 , 这 些 文件 仍然 可 以 轻易 被 读 取 。 既 然 用 户 通过 Web 页 方式 读 信 , 那 么 ,这 一 封 信 实 
质 上 就 是 一 个 普通 的 网 页 , 它 同 样 会 被 保存 在 缓存 里 面 。 如 果 有 人 接触 用 户 的 硬盘 文 
件 , 就 没有 任何 秘密 可 言 了 。 
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2. 历史 记录 漏洞 


这 个 漏洞 的 原理 也 很 简单 。 事 实 上 ,每 个 信箱 都 能 将 用 户 名 和 密码 通过 特定 的 算法 
体现 在 URL 上 ,浏览 器 的 历史 记录 里 恰恰 会 保存 这 一 URL 地 址 ,如 果 有 些 信箱 没有 设 
置 超时 校 验 的 话 , 任 何人 都 可 以 通过 查看 本 机 的 历史 记录 而 进入 信箱 。 


3. 攻击 性 代码 漏洞 


恶意 的 发 件 人 可 以 将 一 段 Java Script 代码 包含 在 给 用 户 的 邮件 中 , 当 用 户 浏览 这 个 
邮件 时 ,系统 会 自动 弹出 一 个 对 话 框 ,提请 用 户 重新 输入 用 户 名 和 密码 登录 ,而 事实 上 ， 
用 户 输入 的 密码 已 经 在 幕后 悄悄 地 发 送 到 攻击 者 的 手中 。 还 有 一 种 攻击 手段 就 是 , 当 打 
开 邮件 时 ,一段 隐藏 的 程序 代码 已 经 设置 好 了 自动 转发 功能 ,以 后 用 户 的 任何 一 个 邮件 ， 
都 会 自动 复制 一 个 副本 寄 到 对 它 感 兴趣 的 人 手 里 。 还 有 的 代码 可 以 开 无 数 个 窗口 ,使 系 
统 资源 耗 尽 而 最 终 死机 。 

总 的 来 说 ,使 用 邮件 客户 端 是 比较 安全 的 ,但 仍 有 几 点 应 该 注意 。 

"* 尽量 不 要 保存 密码 ,因为 密码 框 中 的 * "号 ,在 一 些 工 具 的 帮助 下 就 会 原形 毕露 。 

。 不 要 盲目 信任 有 些 密码 ,比如 Foxmail 的 多 账户 。 一 个 简单 的 调包 就 可 以 读 到 任 

何 用 户 的 信件 而 无 需 密码 。 
。 公用 机 器 最 好 不 要 使 用 POP 收发 ,即使 一 定 要 用 ,退出 时 也 要 将 账号 ,以 及 属于 
用 户 的 各 个 邮件 文件 夹 一 并 删除 。 


642 匿名 转发 技术 


所 谓 匿名 转发 ,就 是 在 隐藏 发 件 人 邮件 地 址 的 情况 下 将 邮件 转发 。 匿 名 邮件 的 转发 
技术 有 3 种 。 


1. 初级 方法 


使 用 普通 的 邮件 程序 (如 Foxmail、IE 等 ) 或 一 般 Web 信箱 ,只 需 在 发 件 一 栏 填 上 一 
个 假 地 址 或 错误 的 地 址 就 行 ,或 者 让 发 件 人 一 栏 空 着 。 但 是 此 时 发 送 的 邮件 不 能 做 到 真 
正 匿 名 ,因为 收 件 人 可 以 从 邮件 头 上 看 出 发 件 人 上 网 时 的 IP 地 址 、 信 件 发 送 过 程 中 所 使 
用 过 的 邮件 服务 器 和 信件 发 送 时 间 。 如 果 从 邮件 上 看 不 到 以 上 信息 ,只 要 稍微 深究 一 
下 ,比如 在 Foxmail 中 用 鼠标 右 击 该 信件 ,再 选中 菜单 中 的 “原始 信息 ”, 就 能 够 让 发 件 人 
“水 落石 出 "了 ,因而 这 算 不 上 真正 的 匿名 邮件 ,也 只 能 算是 个 骗 骗 菜鸟 的 初级 方法 。 


2. 中 级 方法 


如 果 有 时 间 经 常 上 网 ,又 不 怕 浪 费 金钱 ,可 以 登录 到 提供 免费 发 送 匿 名 电子 邮件 服 
务 的 Web 页 面 发 送 匿 名 电子 邮件 。 有 下 列 一 些 匿名 邮件 地 址 。 

匿名 邮件 : http://voo. silversand. net/etc/n_mail. htm 

浪潮 金 基 匿名 邮件 发 送 : http://kahn. xj. cninfo. net/xinhai/service/fcd55. htm 

Anonymizer 匿名 邮件 发 送 : http://personal. sd. cninfo. net/jgq/free/qita. html 
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发 送 方法 非常 简单 ,只 要 将 对 方 信箱 .主题 .正文 等 分 别 填 人 相应 的 框 中 ,再 按 * 匿 名 
发 送 " 即 可 。 

如 果 想 节约 时 间 和 金钱 ,可 以 利用 有 些 Internet 服务 机 构 提 供 的 免费 匿名 邮件 转发 
服务 来 发 送 ,比如 remailer@ replay. com .mixmaster@remail. obscura. com. cn 等 。 其 方 
法 是 使 用 普通 邮件 程序 比如 IE 或 Foxmail 等 ,在 收 件 人 一 栏 填 和 人 匿名 邮件 服务 器 的 地 
址 (不 能 填 入 真正 收 件 人 的 地 址 ) ,主题 书写 无 限制 ,邮件 正文 格式 是 ,第 1 行为 空 ,第 2 
行书 写 "::”, 第 3 行书 写 *Anono:” 后 接着 书写 真正 收 件 人 的 地 址 ,第 4 行为 空 ,第 5 行 以 
后 书写 要 发 送 邮件 的 内 容 。 如 果 邮 件 程序 中 使 用 了 签名 功能 或 者 使 用 的 模板 中 有 发 件 
人 的 信息 , 记 住 一 定 要 取消 ,否则 会 欲 盖 弥 彰 。 


3. 高 级 方法 


上 述 两 种 方法 均 无 法 发 送 邮件 附件 ,在 这 里 ,介绍 一 款 名 叫 Ghost Mail 的 匿名 邮件 
软件 , 它 的 大 小 只 有 254K, 可 以 到 http://software. silversand. net83/internet/email/ 
Ghostmail32. zip 网 站 去 下 载 。 下 载 下 来 的 Ghost Mail 是 一 个 ZIP 格式 的 压缩 文件 ,可 
以 利用 Winzip 之 类 的 压缩 软件 来 把 该 文件 解压 缩 到 一 个 临时 目录 ,然后 直接 用 鼠标 单 
击 gm33. exe 运行 程序 ,就 可 以 打开 GhostMail 的 界面 。 该 界面 共有 5 个 标签 。 

。 From。 填 写 发 信人 信息 。 

。 To。 填 写 收 件 人 的 E-mail 地 址 和 姓名 信息 。 

。 Type。 选 择 是 用 该 程序 来 发 送 匿名 邮件 还 是 张贴 匿名 新 闻 组 。 程 序 默 认 的 设置 

是 用 来 发 送 电子 邮件 用 的 ;并 且 在 该 标签 下 用 户 还 可 以 设置 发 送 的 内 容 是 文本 格 
式 的 还 是 HTML 格式 。 

。 Servers。 设 置 通过 哪 一 个 匿名 邮件 服务 器 来 发 送 邮 件 ,可 以 采用 这 里 的 默认 服 
务 器 mail. net. com, 如 果 要 填写 另外 的 匿名 邮件 服务 器 的 地 址 ,必须 要 保证 地 址 
的 正确 性 。 

。 Attach。 加 入 邮件 的 附件 。 


643 Emal 炸弹 


电子 邮件 炸弹 (E-mail Bomb) ,是 一 种 让 人 厌烦 的 攻击 ,也 是 黑客 常用 的 攻击 手段 。 
传统 的 邮件 炸弹 大 多 是 向 邮箱 内 扔 大 量 的 垃圾 邮件 ,从 而 充满 邮箱 ,大量 地 占用 系统 的 
可 用 空间 和 资源 ,使 机 器 无 法 正常 工作 。 

E-mail 炸弹 常用 的 解救 方法 如 下 : 


1. 向 ISP 求助 
向 ISP 服务 商 求助 ,技术 支持 是 ISP 的 服务 之 一 ,他 们 会 帮 用 户 清 除 电 子 邮 件 炸 弹 。 
2. 用 软件 清除 


利用 邮件 工具 软件 清除 E-mail 炸弹 ,这 些 软 件 可 以 登录 邮件 服务 器 ,选择 要 删除 哪 
些 E-mail, 保 留 哪些 E-mail。 
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3. 利用 Outlook 阻止 发 件 人 功能 


。 选中 要 删除 的 垃圾 邮件 。 

。 单 击 “ 邮 件 ” 选 项 卡 。 

。 在 邮件 选项 卡 下 有 一 个 “阻止 发 件 人 ”选项 , 拒 收 该 邮件 。 
4. 用 邮件 程序 的 E-mail-notify 功能 过 滤 信件 


使 用 邮件 程序 E-mail-notify 功能 可 过 滤 和 删除 信件 ,E-mail-notify 不 会 把 信件 直接 
从 主机 上 下 载 下 来 ,只 会 把 所 有 信件 的 头 部 信息 (headers) 送 过 来 , 它 包 含 了 信件 的 发 送 
者 、 信 件 的 主题 等 信息 ,用 View 功能 检查 头 部 信息 ,看 到 有 来 历 可 疑 的 信件 ,可 从 主机 
Server 端 直接 删除 掉 。 


5. 利用 IE 浏览 器 的 Internet 选项 功能 拒 收 信件 


在 IE 浏览 器 中 ,选择 “工具 /Internet 选项 /安全 / 受 限 站 点 "功能 ,将 令 人 讨厌 的 发 件 
者 打 入 “ 黑 名 单 "。 凡 打 入 了 黑 名 单 的 邮件 系统 会 拒 收 其 发 来 的 所 有 信息 (包括 电子 
邮件 )。 


65 FIP 与 land 安全 


651 FIP 存 在 的 安全 漏洞 


1. 密码 保护 (protecting password) 


存在 的 漏洞 如 下 : 

。 在 FTP 标准 PR85 中 ,FTP 服务 器 允许 无 限 次 输入 密码 。 

。 pass 命令 以 明文 传送 密码 。 

对 此 漏洞 能 够 有 两 种 强力 攻击 方式 。 

。 在 同一 连接 上 直接 强力 攻击 , 即 不 断 进 行 密码 尝试 攻击 。 

。 与 服务 器 建立 多 个 .并行 的 连接 进行 强力 攻击 。 

防范 措施 : 服务 器 应 限制 尝试 输入 口令 的 次 数 ,在 几 次 (如 3 次 ) 失 败 后 服务 器 应 关 
闭 和 用 户 的 控制 连接 。 在 关闭 之 前 ,服务 器 有 发 送 返 回信 息 码 421( 服 务 器 不 可 用 ,关闭 
控制 连接 )。 另 外 ,服务 器 在 响应 无 效 的 pass 命令 之 前 应 暂停 几 秒 钟 来 消除 强力 攻击 的 
有 效 性 。 


2. 访问 控制 (access control) 


存在 漏洞 : 从 安全 角度 出 发 ,对 一 些 FTP 服务 器 来 说 ,基于 网 络 地 址 的 访问 控制 是 
非常 重要 的 。 另 外 ,客户 端 也 需要 知道 所 进行 的 连接 是 否 与 它 所 期 望 的 服务 器 已 建立 。 
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防范 措施 : 在 建立 连接 前 ,双方 需要 同时 认证 远 端 主机 的 控制 连接 .数据 连接 的 网 络 
地 址 是 否 可 信 。 


3. 端口 盗用 (port stealing) 


存在 漏洞 : 当 使 用 与 操作 系统 相关 的 方法 分 配 端口 号 时 ,通常 都 是 按 增 序 分 配 。 

攻击 : 攻击 者 可 以 通过 端口 分 配 规律 及 当前 端口 分 配 情况 ,只 要 攻击 者 知道 了 一 个 
端口 的 分 配 情况 ,就 可 确定 下 一 个 要 分 配 的 端口 ,然后 对 端口 做 手脚 。 

防范 措施 : 由 操作 系统 随机 分 配 端口 号 ,让 攻击 者 无 法 预测 其 他 端口 分 配 情况 。 


4. 保护 用 户 名 (user names) 


存在 漏洞 : 当 user 命令 中 的 用 户 名 被 拒绝 时 ,在 FTP 标准 PR85 中 定义 了 相应 的 返 
回 码 530。 而 当 用 户 名 有 效 时 ,FTP 将 使 用 返回 码 331 。 

攻击 : 攻击 者 可 以 通过 user 操作 的 返回 码 确定 一 个 用 户 名 是 否 有 效 。 

防范 措施 : 不 论 用 户 名 是 否 有 效 FTP 都 应 是 相同 的 返回 码 , 这 样 可 以 避免 泄露 有 效 
的 用 户 名 。 


5. 私密 性 (privacy) 


在 FTP 标准 PR85 中 ,所 有 在 网 络 上 被 传送 的 数据 和 控制 信息 都 未 被 加 密 。 为 了 保 
障 FTP 传输 数据 的 私密 性 ,应 尽 可 能 使 用 强大 的 加 密 系统 。 


652 FIP 安 全 技术 


1. 匿名 登录 


用 过 FTP 的 人 都 知道 ,FTP 提供 一 种 匿名 服务 (anonymous service) 功 能 。 登 录 名 
用 anonymous, 而 口令 通常 可 用 用 户 的 电子 邮件 地 址 代替 。 正 是 这 种 服务 方式 方便 了 用 
户 ,但 也 不 可 避免 地 带 来 了 安全 问题 ,如 客户 登录 后 ,往往 能 够 获得 一 个 可 写 目录 ,这 样 
客户 就 可 以 通过 put 上 传 一 个 甚至 是 多 个 txt 文件 ,来 达到 其 攻击 该 FTP 服务 器 或 其 他 
FTP 服务 器 的 目的 。 虽 然 许多 FTP 服务 器 都 限制 匿名 用 户 的 权限 ,比如 执行 权 , 但 是 许 
多 FTP 服务 器 与 Web 服务 器 同 装 在 一 台 机 器 上 .那么 匿名 用 户 完全 可 以 利用 该 可 写 目 
录 运 行 命令 调用 Web 服务 器 执行 。 


2. FTP 代理 服务 器 


通过 FTP 代理 服务 器 连接 到 匿名 FTP 服务 器 ,而 不 是 直接 连接 到 FTP 服务 器 上 。 
这 样 做 的 主要 目的 基于 两 个 方面 ,第 一 ,无 法 直接 连接 ,比如 存在 防火 墙 ; 第 二 ,出 于 不 被 
匿名 服务 器 知晓 其 IP 地 址 的 目的 ,或 者 登录 者 就 是 网 络 攻击 者 ,或 者 由 于 匿名 服务 器 根 
据 IP 地 址 来 限制 客户 登录 。 

因此 ,对 于 防火 墙 内 的 客户 来 说 , 它 必须 先 运行 FTP 命令 并 通过 作为 主机 的 防火 墙 


136 人 insesnt 


连接 ,连接 完成 后 ,必须 说 明 用 户 名 和 连接 地 点 ,在 认证 该 地 点 确实 允许 之 后 ,代理 才 与 
远程 系统 上 的 FTP 服务 器 建立 连接 ,使 用 用 户 提供 的 用 户 名 开始 登录 。 然 后 ,远程 服务 
器 提示 用 户 输入 口令 ,如 果 口 令 正确 , 则 连接 被 允许 。 对 于 非 防火 墙 内 用 户 , 它 可 以 通过 
任意 代理 服务 器 来 连接 其 目的 服务 器 ,并 达到 隐藏 其 地 址 的 目的 。 对 于 目标 服务 器 而 
言 , 其 知道 的 仅仅 是 代理 服务 器 的 地 址 。 

这 样 , 通 过 FTP 代理 服务 器 对 FTP 服务 器 进行 攻击 ,往往 使 得 查找 网 络 攻击 源 变 得 
很 困难 ,而 且 如 果 FTP 服务 器 和 FTP 代理 服务 器 间 存 在 一 定 的 信任 关系 ,攻击 就 变 得 更 
容易 了 。 


3. 跳板 (bounce) 攻 击 问题 


FTP 的 代理 服务 特性 是 允许 第 三 方 文件 传输 。 一 个 用 户 可 以 从 一 个 FTP 向 另 一 个 
远程 FTP 请 求 代理 传输 。 实 际 上 这 种 特性 已 在 RFC959 中 被 说 明 , 当 与 引用 命令 相连 
时 ,例如 PORT 及 PASV 语句 ,人 允许 一 个 用 户 避 免 IP 访问 控制 及 可 跟踪 性 。 

假设 一 个 网 络 攻击 者 的 IP 地 址 是 221. 210. 0. 10, 他 想 从 另 一 个 目标 服务 器 获得 资 
源 ,但 目标 服务 器 对 一 些 特定 的 IP 地 址 范围 进行 了 限制 。 假 定 网 络 攻击 者 的 IP 地 址 
221. 210. 0. 10 恰好 在 这 一 限制 范围 内 ,因此 目标 服务 器 上 的 一 些 或 所 有 的 资源 都 不 能 访 
问 , 所 以 必须 使 用 另 一 台 机 器 (中 继 服务 器 ) 去 访问 目标 服务 器 。 其 简单 的 过 程 就 是 ,用 
户 登 录 上 这 台中 继 网 服务 器 后 ,向 中 继 用 服务 器 目录 写 一 个 文件 ,该 文件 包含 有 连接 到 
目标 机 器 并 获取 所 需 信息 的 命令 。 当 该 中 介 服 务 器 连接 目标 服务 器 时 ,使 用 了 它 自 己 的 
地 址 而 不 是 攻击 者 的 地 址 。 因 此 ,目标 服务 器 信任 该 连接 请 求 并 返回 要 求 的 文件 。 这 样 
就 构成 了 一 个 跳板 攻击 。 


653 Tanet 安 全 性 分 析 


Telnet 是 一 个 非常 有 用 的 工具 ,并 且 一 般 主机 都 开启 了 Telnet 服务 。 因 此 可 以 使 用 
Telnet 登录 上 一 个 开启 了 Telnet 服务 的 主机 来 执行 一 些 命令 ,便于 进行 远程 工作 或 
维护 。 

但 Telnet 本 身 存在 很 多 的 安全 问题 ,描述 如 下 : 

。 传输 明文 。Telnet 登录 时 没有 口令 保护 ,远程 用 户 的 登录 传送 的 用 户 名 和 密码 都 

是 明文 ,网络 攻击 者 使 用 任何 一 种 简单 的 嗅 探 器 都 可 以 截获 。 

。 没有 强力 认证 机 制 ,验证 的 只 是 连接 者 的 用 户 名 和 密码 。 

。 没有 完整 性 检查 。 传 送 的 数据 没有 办 法 知道 是 否 完整 ,不 能 判断 数据 是 否 被 算 

改过 。 

。 传送 的 数据 都 没有 加 密 。 中 途 的 截获 可 以 马上 看 到 数据 的 内 容 。 

解决 办 法 : 不 要 使 用 传统 的 明文 软件 Telnet, 而 要 使 用 SSLTelnet 或 SSH 这 样 的 对 
数据 加 密 传输 的 软件 。 
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661 IP4 安 全 性 分 析 


目前 广泛 使 用 的 TCP/IP 协议 是 安全 机 制 不 完善 的 IPv4 版 本 。 该 版 本 的 TCP/IP 
协议 体系 中 存在 许多 安全 缺陷 ,列举 如 下 : 
TCP/IP 本 身 不 提供 加 密 传输 功能 ,用 户口 令 和 数据 是 以 明文 形式 传输 的 ,很 容 
易 在 传输 过 程 中 被 截获 或 修改 。 
TCP/IP 本 身 不 支持 信息 流 填充 机 制 , 容 易 受 到 信息 流 分 析 的 攻击 。 
TCP/IP 本 身 不 提供 对 等 实体 鉴别 功能 ,恶意 的 第 三 者 实体 可 以 轻易 冒充 合法 用 
户 与 连接 的 一 方 通信 ,并 能 骗取 对 方 的 信任 。 
TCP/IP 协议 体系 本 身 存在 缺陷 ,容易 遭受 到 攻击 ,例如 ,服务 端口 的 半 开 连接 问 
题 会 造成 拒绝 服务 现象 发 生 。 
由 TCP/IP 支持 的 Internet 中 的 各 个 子 网 是 平等 的 ,难以 实现 分 级 安全 的 网 络 结 
构 ( 如 树 状 结构 ) ,无 法 实现 有 效 的 安全 管理 。 
许多 厂商 提供 的 TCP/IP 应 用 层 协 议 实用 软件 中 存在 严重 的 安全 漏洞 ,常常 被 黑 
客 用 作 网 络 攻击 的 工具 。 

综 上 所 述 ,TCP/IP 协议 体系 中 确实 存在 严重 的 安全 缺陷 ,但 它 的 协议 却 又 被 广泛 使 
用 ,因此 必须 重视 研究 与 解决 TCP/IP 体系 的 安全 问题 。 


662 1IP6 安 全 性 分 析 


IPv4 是 整个 Internet 网 络 的 基本 通信 协议 ,从 1970 年 底 问 世 以 来 不 断 地 更 新 。 随 
着 通信 技术 和 计算 机 技术 的 发 展 ,Internet 网 络 性 能 不 断 提 高 ,应 用 越 来 越 广泛 。 因 此 ， 
尽管 IPv4 的 设计 是 健全 的 ,但 它 必然 被 取代 , 即 用 IPv6 取代 IPv4。 

下 一 代 IP 协议 是 IPv6。IPv6 除了 对 IP 地 址 作 了 较 大 的 改动 以 外 ,也 完全 改变 了 
IPv4 的 数据 包 格 式 。 如 图 6-5 所 示 , IPv6 数据 包 有 一 个 固定 大 小 的 基本 首部 (base 
header) ,其 后 可 以 允许 有 和 零 个 或 多 个 扩展 首部 (extension header), 再 其 后 才 是 数据 
信息 。 


可 选项 
基本 首部 | 扩展 首部 | ”… ”| 扩展 首部 | 数据 信息 
图 6-5 ”IPv6 数据 包 的 一 般 格 式 


IPv6 在 安全 性 能 方面 具有 较 大 提高 , 它 主 要 是 利用 了 IPSec(Internet Protocol Security， 
因特网 安全 协议 ) ,IPSec 在 网 络 协议 栈 的 IP(Internet Protocol) 层 提供 加 密 和 认证 服务 
技术 。IPsec 包含 三 个 安全 措施 ,认证 头 AH(Authentication Head) ,提供 封包 层 的 认证 
服务 和 封装 安全 净 荷 ESP (Encapsulating Security payload) ,提供 加 密 以 及 认证 服务 、 
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Internet 密 钥 交换 协议 IKE(Inter Key Exchange) ,用 以 对 通信 双方 提供 身份 认证 和 密 钥 
交换 方法 。 在 IPv6 中 ,AH 和 ESP 都 作为 一 个 扩展 首部 。IPv6 和 IPv4 安全 性 的 最 大 不 
同 就 是 IPSec 是 作为 一 种 附加 的 安全 措施 作用 于 IPv4 的 ,而 IPv6 的 所 有 产品 的 安全 措 
施 则 是 以 IPSec 为 主 。 


1. 加 密 和 认证 


AH 提供 了 认证 机 制 , 通 过 这 个 认证 过 程 可 保证 数据 包 接收 者 得 到 的 源 地 址 是 可 靠 
的 , 且 所 接收 的 数据 包 在 传输 过 程 中 没有 被 自 改 或 更 换 。ESP 保证 只 有 合法 的 接收 者 才 
能 读 取 数 据 包 的 内 容 。 这 两 者 都 是 建立 在 安全 关联 (security association) 的 概念 基础 上 。 

1) 安全 关联 

认证 和 加 密 要 求 发 送 者 和 接收 者 就 密 钥 、 认 证 或 加 密 算法 以 及 一 系列 附属 特性 (如 
密 钥 生命 周期 算法 使 用 细节 等 ) 达 成 一 致 的 协定 。 这 套 协定 机 制 组 成 了 发 送 者 和 接收 
者 之 间 的 一 种 “安全 关联 ”"。 接 收 者 在 收 到 数据 包 后 ,只 有 在 能 将 其 与 一 种 安全 关联 的 内 
容 相 关联 起 来 时 ,才能 对 其 进行 验证 和 解密 。 所 有 的 IPv6 验证 和 加 密 数 据 包 都 带 有 安 
全 参数 索引 (Security Parameter Index,SPI) 。 

当 数 据 包 通过 单 播 地 址 只 发 送 给 一 个 接收 者 时 ,SPI 就 由 该 接收 者 来 选 定 ,例如 它 可 
以 是 接收 者 所 维持 的 安全 上 下 文 表 的 索引 。 事 实 上 ,一 台 主 机 每 次 接收 时 所 使 用 的 SPI 
都 是 “安全 关联 ”中 的 一 个 参数 。 每 台 工作 站 都 必须 记 住 其 对 端 使 用 的 SPI, 以 便 识别 安 
全 上 下 文 。 

当 数 据 包 通过 多 播 地 址 发 送 给 一 组 接收 者 时 ,SPI 对 组 中 的 所 有 成 员 是 同等 对 待 的 。 
每 个 成 员 都 能 将 组 地 址 和 SPI 结合 起 来 ,并 与 密 钥 、 算 法 和 其 他 参数 产生 关联 。 通 常 ,对 
SPI 的 协商 操作 是 在 密 钥 交换 过 程 中 进行 的 。 

2) 认证 头 

认证 头 AH 是 IPv6 所 定义 的 扩展 报头 中 的 一 种 ,由 有 效 负载 类 型 51 来 标识 。 例 
如 ,一 个 被 认证 的 TCP 数据 包 会 包括 有 一 个 IPv6 报头 一 个 认证 报头 和 TCP 数据 包 本 
身 。 除 此 之 外 ,还 有 其 他 几 种 变 体 , 例 如 在 AH 前 插 有 路 由 选择 报头 ,或 者 在 AH 和 有 效 
负载 之 间 插 入 端 到 端 选 项 等 ,如 图 6-6 所 示 。 


IPv6 报 头 AH TCP 报 文 段 
1Pv6 报 头 路 由 报头 AH TCP 报 文 段 
1Pv6 报 头 AH 端 到 端 选项 “|TCP 报 文 段 


图 6-6 认证 过 的 TCP 数据 包 举 例 


认证 头 的 出 现 不 会 改变 TCP 的 行为 ,事实 上 也 不 会 改变 任何 端 到 端 协议 ,如 UDP 
和 ICMP。 它 所 提供 的 就 是 对 数据 原始 性 的 明确 担保 。 尽 管 在 实际 中 端 到 端 协议 也 可 以 
用 来 拒绝 任何 没有 被 认证 的 数据 包 。 

认证 头 的 语法 很 简单 。 开 始 部 分 是 一 个 96 位 的 报头 ,包括 下 一 个 报头 的 编号 .认证 
有 效 负载 的 长 度 、 必 须 设置 为 0 的 16 个 保留 位 、 安 全 关联 用 的 32 位 SPI 以 及 一 个 32 位 
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的 序列 号 。 紧 随 这 组 固定 长 度 参 数 之 后 的 就 是 认证 数据 ,其 编码 为 一 组 可 变 长 度 的 32 
位 字 , 例 如 ,如 果 认 证 数据 长 为 96 位 , 则 长 度 值 就 设置 为 4。 认 证 报头 的 格式 如 图 6-7 
所 示 。 

10 21 31 
下 一 个 报头 有 效 净 荷 长 度 保留 

SPI 
序列 号 字段 
认证 数据 (长 度 是 可 变 的 ) 


图 6-7 认证 报头 格式 


序列 号 字段 是 在 安全 规范 的 1997 年 修订 版 中 加 入 的 。 发 送 者 在 安全 关联 的 数据 中 
加 入 编号 ,接收 者 使 用 此 编号 来 识别 并 废弃 过 时 的 数据 包 。 这 样 就 可 以 防止 * 重 放 "的 攻 
击 , 攻 击 者 在 获取 到 一 份 有 效 的 数据 包 备 份 后 ,进行 处 理 再 重新 放 到 网 上 。 不 过 ,实施 这 
种 保护 措施 要 慎重 小 心 ,因为 因特网 并 不 保证 对 数据 包 进 行 有 序 发 送 。 接 收 者 应 该 将 每 
一 个 安全 关联 都 与 最 高 的 序列 号 N 关联 , 即 在 一 个 经 过 正确 认证 的 数据 包 里 已 经 收 到 的 
所 有 序列 号 进行 关联 。 

在 这 里 ,应 该 注意 , 若 允 许 循环 , 则 序列 号 并 不 能 完全 保证 免 受 重 放 的 攻击 。 如 果 一 
次 安全 关联 过 程 中 所 传输 的 数据 包 超过 2” 个 时 ,序列 号 就 会 出 现 循环 。 要 想 取 得 更 好 
的 安全 性 ,在 出 现 循环 之 前 就 应 重新 协商 新 的 密 钥 。 

认证 数据 来 源 于 加 密 校 验 和 的 计算 。 这 种 计算 所 涉及 的 内 容 包 括 有 效 负载 数据 、 
IPv6 报头 和 扩展 报头 中 的 某 些 字段 ,以 及 关联 成 员 所 约定 的 秘密 值 。 认 证 数据 的 精确 长 
度 取决 于 计算 校 验 和 所 选 定 的 算法 。 接 收 者 将 根据 数据 包 的 内 容 和 SPI 指引 处 的 秘密 
值 计 算出 一 个 预期 值 ,再 把 它 与 数据 包 中 所 收 到 的 认证 数据 的 计算 结果 相 比较 。 如 果 二 
者 相等 ,就 可 以 证 明 数据 包 是 由 知道 此 秘密 值 的 主机 发 送 的 ,并 在 传播 中 未 被 更 改 。 

认证 头 的 使 用 将 能 有 效 地 防止 目前 因特网 上 屡见不鲜 的 地 址 欺骗 攻击 ,同时 它 还 能 
保护 用 户 连 接 不 被 盗用 。 

3) 计算 认证 数据 

认证 头 用 户 保护 数据 报 的 完整 性 以 及 证 实 其 内 容 在 传输 过 程 中 未 被 修改 。 然 而 , 存 
在 的 问题 是 有 些 字段 在 传输 过 程 中 必须 要 做 修改 。 在 IPv6 报头 中 ,每 经 过 一 跳 , 跳 数值 
就 要 自动 减 1。 如 果 用 到 了 路 由 选择 头 ,IPv6 的 目的 地 址 和 下 一 个 地 址 就 会 在 源 路 由 的 
每 次 中 继 时 进行 交换 ,同时 下 一 个 地 址 进行 递增 。 某 些 端 到 端 选项 可 能 也 会 在 传输 中 更 
新 ,这 点 由 选项 类 型 中 的 “在 路 由 中 改变 ” 值 位 来 表示 。 

为 了 解决 这 个 问题 ,在 计算 认证 数据 之 前 ,发 送 者 就 必须 准备 一 个 该 报 文 的 特殊 版 
本 ,与 传输 中 的 转换 无 关 。 在 IPv6 报头 中 ,第 一 个 32 位 不 参与 计算 ;在 IPv6 报头 中 , 跳 
数 设 为 0; 如 果 用 到 了 路 由 选择 报头 .那么 IPv6 的 目的 站 点 就 设 为 最 终 的 目的 站 点 ,路 由 
选择 报头 的 内 容 设 为 它 即 将 到 达 的 站 点 值 , 并 对 地 址 索引 做 相应 设置 。 

在 这 里 , 校 验 和 是 使 用 一 种 特殊 的 加 密 算 法 计算 得 到 的 。 常 规 的 校 验 和 算法 ,比如 
在 串 行 链 路 和 以 太 网 中 所 使 用 的 传统 IP 的 16 位 校 验 和 或 者 16 或 32 位 多 项 式 校 验 和 算 
法 等 ,在 这 里 都 不 能 使 用 。 因 为 这 些 算法 只 能 用 来 防止 由 噪音 引起 的 随机 错误 对 报 文 造 
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成 的 干扰 ,而 并 不 能 防止 入 侵 者 的 人 为 进攻 。 

在 IPSec 中 所 建议 的 算法 是 keyed MD5 , 即 带 密 钥 的 MD5 算法 。 具 体 做 法 是 ,将 报 
文 与 密 钥 结合 后 ,再 对 其 结果 计算 散 列 值 。 密 钥 放 在 报 文 的 起 始 或 末尾 ,这 样 能 防止 某 
些 类 型 的 攻击 。 

将 校 验 和 缩短 到 96 位 将 保持 AH 的 大 小 为 M 个 字 节 , 即 64 位 的 倍数 ,而 不 会 削弱 
认证 能 力 。 

实际 应 用 中 ,认证 算法 是 在 安全 关联 的 建立 过 程 中 协商 的 。MD5 算法 只 有 在 确保 所 
有 实现 方法 中 至 少 有 一 种 共同 算法 时 才能 被 指定 为 默认 算法 。 

4) 封装 安全 净 荷 

认证 头 并 不 对 数据 进行 加 密 , 当 要 求 保密 时 就 应 该 使 用 封装 安全 净 荷 ESP。ESP 报 
头 在 IPv6 报头 链 中 总 是 在 最 后 的 位 置 , 并 处 于 加 密 部 分 的 最 外 层 , 如 图 6-8 所 示 。 

ESP 的 序列 号 和 AH 的 序列 号 极为 相似 , 它 用 来 保护 接收 者 免 受 重 放 攻击 。 在 加 密 
数据 之 后 的 认证 检验 和 保护 接收 者 免 受 一 种 将 加 密 数 据 切 碎 或 截 短 的 攻击 。 用 来 结合 
校 验 和 的 算法 是 安全 关联 的 一 个 参数 。 在 任何 情况 下 , 校 验 和 都 是 用 来 保护 序列 号 和 加 
密 数据 的 。ESP 的 格式 如 图 6-9 所 示 。 


3 位 SP 
32 位 序列 号 

加 密 数 据 和 参数 
认证 数据 


图 6-8 使 用 ESP 报头 的 加 密 数 据 包 图 6-9 ESP 的 通用 格式 


实际 上 ,ESP 具体 的 格式 与 所 使 用 的 加 密 算法 有 关 。 规 范 中 所 建议 的 默认 算法 是 用 
DES-CBC(Data Encryption Standard-Cipher Block Chaining ,数据 加 密 标 准 -密码 分 组 链 
接 模式 ) ,与 MD5 在 认证 中 的 情况 相同 ,DES-CBC 是 默认 算法 ,在 安全 关联 建立 后 也 可 
以 选用 其 他 算法 。 

当 同 时 要 求 采用 认证 和 保密 时 ,可 以 同时 使 用 AH 和 ESP, 并 且 建 议 总 是 将 ESP 置 
于 AH 中。 这 样 接收 者 既 不 需要 在 解密 前 检查 报 文 的 真实 性 ,也 不 需要 在 做 可 靠 性 检查 
的 同时 进行 解密 。 


2. 密 钥 的 分 发 


安全 关联 的 建立 依赖 于 只 有 参与 关联 的 成 员 才 知道 密 钥 的 存在 ,而 安全 性 的 有 效 扩 
散 要 依赖 于 有 效 的 密 钥 分 发 方法 。 密 钥 管理 和 安全 协议 的 链接 实际 上 就 是 安全 关联 的 
安全 参数 索引 。 因 特 网 机 构 正 在 统一 密 钥 分 发 方案 ,如 Photuris、SKIP 和 OAKLEY 等 。 

因特网 安全 协会 和 密 钥 管理 协议 (ISAKMP ) 为 密 钥 交 换 协 议 的 实现 提供 了 一 个 非 
常 通用 的 框架 。 所 有 的 ISAKMP 报 文 都 具有 相同 的 报头 , 紧 随 其 后 的 是 ISAKMP 有 效 
负载 清单 。 这 些 报 文通 常 使 用 第 500 端口 通过 UDP 交换 。 单 一 的 事务 可 以 同时 为 几 个 
协议 建立 密 钥 。 例 如 ,用 于 两 个 独立 的 加 密 和 认证 协议 ,属于 同一 个 协议 的 有 效 负载 放 
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在 一 个 定义 协议 标志 的 (封装 的 ) 有 效 负载 后 面 。 
663 IP6 安 全 机 制 


IPv6 安全 机 制 有 很 多 潜在 的 应 用 ,最 引 人 注 目的 如 在 防火 墙 之 间 的 应 用 、 移 动 主机 
和 基站 之 间 的 应 用 以 及 安全 主机 之 间 的 应 用 。 认 证 过 程 可 以 非常 有 效 地 保护 建 网 过 程 ， 
比如 邻 机 发 现 或 路 由 信息 交换 等 。 


1. 管道 和 防火 墙 


目前 因特网 安全 机 制 的 实现 在 很 大 程度 上 都 依赖 于 防火 墙 。IPv6 的 AH 和 ESP 报 
头 可 用 来 在 两 个 远 距离 防火 墙 之 间 建 立 安全 通道 ,例如 ,在 同一 公司 的 两 台 终 端 之 间 的 
距离 安全 通道 ,如 图 6-10 所 示 。 


Internet 
终端 + 电 "0 安全 通 省 er 


图 6-10 两 个 防火 墙 之 间 的 安全 通道 


两 个 终端 之 间 的 数据 包 交 换 将 封装 到 IPv6 的 数据 包 中 ,从 一 个 防火 墙 通过 因特网 
传 到 另 一 个 防火 墙 。 如 果 仅 要 求 认证 则 使 用 AH 即 可 ,如 果 还 需要 对 数据 加 密 , 则 还 将 
使 用 到 ESP。 如 果 使 用 认证 ,终端 1 与 终端 2 之 间 所 交换 的 典型 数据 包 将 在 防火 墙 F1 
与 防火 墙 F2 先后 进行 两 次 转换 , 即 由 Fl 封装 ,由 F2 解 封 。 

如 果 使 用 认证 ,黑客 就 无 法 插入 伪造 数据 包 ; 如 果 使 用 加 密 , 黑 客 就 无 法 看 穿 管道 。 


2. 移动 主机 


移动 主机 备 受 安全 组 织 的 关注 。 因 为 移动 主机 可 以 连接 到 任何 一 种 远程 网 络 ,而 不 
受 组 织 管 理 者 的 控制 。 

一 个 防止 特殊 攻击 的 方法 是 在 移动 计算 机 和 基地 防火 墙 之 间 建 立 安 全 通道 ,如 
图 6-11 所 示 。 如 果 防 火 墙 对 于 移动 主机 来 说 作为 基地 网 ,对 于 邻 机 发 现 来 说 作为 代理 
机 , 则 这 个 解决 方案 可 以 和 下 等 级 移动 程序 相 结 合 。 这 样 移动 主机 则 有 两 个 地 址 ,一 个 
在 远程 网 ; 另 一 个 在 基地 网 。 和 移动 主机 基地 地 址 捆绑 的 数据 包 将 通过 使 用 安全 封装 的 
防火 墙 中 继 。 


Jnternet 
[ 攻 地 网 | 终端 1 移动 同 {() 。 安全 通道 。 ”移动 网 H 终 端 2 


图 6-11 移动 单元 和 防火 墙 间 的 安全 通道 
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人 xsansesnat 


3. 邻 机 发 现 


ICMP 最 重要 的 功能 之 一 是 邻 机 发 现 。 利 用 邻 机 发 现 功能 ,系统 能 找 出 该 链 路 上 的 
其 他 主机 和 路 由 器 。 系 统 通过 对 同一 链 路 上 主机 的 学 习 , 能 够 传送 链 路 上 主机 期 待 的 数 
据 报 。 主 机 为 了 向 不 在 同一 链 路 上 的 系统 传送 数据 报 , 至 少 要 学 习 一 个 路 由 器 。 当 主机 
选择 了 低 效 的 路 由 器 时 ,还 可 以 利用 邻 机 的 学 习 , 使 路 由 器 向 主机 指示 最 适用 的 路 由 器 。 

某 些 建 网 过 程 有 特殊 的 安全 需求 。 邻 机 发 现 是 一 个 很 好 的 例子 。 可 以 控制 对 网 络 
的 访问 ,以 便 做 到 只 允许 有 明确 授权 的 访问 者 才能 将 其 便携 机 接 入 用 户 的 网 络 。 还 可 以 
控制 对 某 些 报 文 的 授权 ,以 便 工作 站 及 时 中 止 向 错误 的 地 址 传送 数据 。 

路 由 公告 是 发 给 多 播 组 中 的 所 有 结 点 的 。 通 过 定义 SPI, 人 们 很 容易 为 该 组 配置 一 
个 安全 关联 。 需 要 注意 的 是 , 像 MD5 这 样 的 算法 仅 能 保护 这 个 组 不 受 外 来 者 侵犯 。 由 
于 密 钥 是 本 组 工作 站 所 共 知 的 ,因此 ,每 个 工作 站 都 可 以 以 一 个 路 由 器 的 方式 出 现 。 利 
用 路 由 公告 信息 ,任何 黑客 都 可 以 将 一 台 计 算 机 连接 到 本 地 网 络 上 。 

邻 机 公告 是 发 送 给 请 求 者 的 单 播 地 址 的 。 只 有 在 邻 机 和 请 求 者 之 间 建 立 了 安全 关 
联 的 情况 下 邻 机 公告 才 是 安全 的 。 如 果 双 方 还 没有 交换 任何 一 个 数据 包 , 那 么 它们 怎么 
能 协商 密 钥 呢 ? 对 此 问题 有 两 种 答案 ,网 管 人 员 可 让 工作 站 在 下 一 阶段 再 协商 一 个 安全 
关联 ;也 可 以 对 路 由 器 编程 ,使 其 不 广播 本 地 地 址 前 绥 . 人 迫使 主机 总 以 路 由 器 作为 它们 的 
第 一 个 下 一 跳 站 点 ,并且 在 本 地 通信 中 依靠 已 认证 的 重 定向 报 文 。 


4. 路 由 选择 协议 


如 果 路 由 选择 协议 不 安全 ,那么 整个 网 络 将 无 法 维持 。 因 为 入侵 者 可 以 伪装 路 由 选 
择 更 新 报 文 ,并 且 可 以 中 断 通信 或 转移 某 些 连 接 。 使 用 IP 安全 机 制 对 定义 特定 路 由 器 
之 间 的 认证 和 加 密 函 数 来 说 是 最 佳 的 技术 手段 。 


67 应 用 实例 


671 IP 地 址 与 MAC 地 址 的 绑 定 技术 


1. IP 地 址 与 MAC 地 址 的 绑 定 


使 用 IP 地 址 与 MAC 地 址 绑 定 技术 能 有 效 地 防止 IP 地 址 被 盗用 ,其 操作 方法 是 利 
用 Windows 提供 的 arp 命令 ,命令 格式 为 : 

ap-5 < 也 地 址 > <MC 地 址 > 

例如 ,使 用 arp -s 192. 168. 1. 2 00-A0-43-E0-6A-84 的 命令 ,能 将 静态 IP 地 址 
192. 168. 1. 2 与 网 卡 地 址 为 00-A0-43-E0-6A-84 的 计算 机 绑 定 在 一 起 ,别人 就 不 能 使 用 这 
个 IP 地 址 了 。 

上 面 的 方法 虽然 可 以 在 一 定 程度 上 解决 非法 用 户 网 络 接 和 人 的 问题 和 IP 地 址 冲突 的 
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问题 ,但 非法 用 户 还 是 可 以 通过 修改 注册 表 , 下 载 专用 修改 MAC 小 工具 等 方法 ,轻松 更 
改 本 机 的 MAC 地 址 ,甚至 将 本 机 的 MAC 地 址 和 其 他 IP 地 址 进行 绑 定 ,这 样 ,非法 用 户 
就 可 以 使 用 网 络 了 。 


2. 交换 机 的 MAC 地 址 与 端口 绑 定 


可 以 将 MAC 地 址 与 交换 机 的 以 太 端 口 绑 定 ,若非 法 用 户 擅自 改动 本 机 的 MAC 地 
址 而 试图 访问 网 络 , 因 其 MAC 地 址 被 交换 机 认定 为 非法 而 无 法 达到 目的 。 

在 这 里 以 Cisco 交换 机 为 例 。 

登录 进入 交换 机 ,输入 管理 口令 进入 配置 模式 。 

(config)# mac adtiress table permanent [MC 地 址 ] [以 太 网 端口 号 ] 

逐一 地 将 每 个 端口 与 相应 的 计算 机 MAC 地 址 进行 绑 定 , 保 存 退 出 后 就 彻底 阻止 了 
用 户 的 非法 修改 。 


672 上 网 助手 的 使 用 技术 


人 们 上 网 使 用 最 多 的 功能 就 是 使 用 正 浏览 器 浏览 各 种 网 站 及 其 网 页 “YAHOO 上 
网 助手 ”就 是 针对 IE 浏览 器 进行 管理 的 ,其 主 界面 如 图 6-12 所 示 。 


欢 多 使用 雅 开 动手 


YaHGGI, 雅虎 助手 加 EH 同一 加 并 


下 能 秘 专家 荐 件 合理 专家 
彻底 修复 被 基 改 的 IE 浊 览 嚼 等 理 屏 项 插件 程序 


做 香 IE 外 观 全 面 清理 
清理 下 工具 栏 和 名单 调理 电脑 使用 病 迹 
ce 


广告 拦 共 设 置 洁 香 人 搜 址 栏 
定制 拦 者 度 、 拦 截 米 果 保护 上 网 隐私 
ee 二 


会 六 到 er 


图 6-12 上 网 助手 主屏 幕 
“YAHOO 上 网 助手 ”的 功能 很 多 ,在 这 里 介绍 几 个 常用 的 功能 。 
1. 清理 IE 地址 


如 果 用 户 不 想 让 别人 知道 自己 上 网 时 浏览 了 哪些 网 站 ,可 利用 "上 网 助手 ”| * 清 理 IE 
地 址 ”功能 将 有 关 IE 地 址 清除 。 

在 如 图 6-13 所 示 的 “清理 IE 地 址 栏 ”窗口 中 , 选 定 相 应 的 IE 地 址 并 单 击 “ 立 即 清理 ” 
按钮 , 即 自动 将 相关 的 IE 地 址 在 IE* 地 址 ? 栏 中 消除 。 
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清理 IE 地 址 磋 


将 地 址 栏 下 拉 列 康 中 信守 的 网 址 划 除 ， 嫩 可 以 保护 障 夭 ,也 有 利于 块 束 登陆 合用 网 站 - 
下 面 是 你 地址 栏 下 拉 列 表 中 的 网 址 列表 ， 可 选中 进行 副 除 。( 王立 即 重 局 后 生效 》 


回 由 htt17as 3721 eon cns dl? Pct-IC CFICDT SD TAC 


口 办 we: lsa eon/ 
口 护 hp/ sheshor set/ 
[= 


图 三 闫 YR 直 狠 厂 想 Kwr 局 厂 丰 巾 芭 


图 6-13 清理 下 地址 


2. 全 面 清理 上 网 痕迹 


清理 IE 地 址 功能 只 能 清理 IE* 地 址 ” 栏 中 的 IE 地 址 ,而 使 用 “全 面 清理 ”功能 则 可 将 
所 有 上 网 痕迹 全 部 清除 。 
全 面 清理 操作 窗口 如 图 6-14 所 示 。 


全 面 清理 


助 悠 滞 理 上 网 症 丰 、 和 Hndow: 使 用 病 迹 、 应 用 程序 使 用 妆 提 ， 有 效 保护 歇 
高 履 的 计算 机 性 能 。 建 议 下 接点 击 "立即 清 得 ”， 册 际 系统 


| 回 上 网 保存 在 绎 存 中 的 网 页 文件 
上 网 产生 的 已 访问 过 的 网 页 历史 记录 


上 网 产生 的 Cookies 
回 windovlsaj 文 件 夹 
开始 式 单 中 的 文档 记录 
回 访问 网 上 邻居 的 记录 人 对 并 系统 生效 ) 
回 “运行 " 框 里 的 命令 ( 电 询 重 启 后 生效 ) 


网 天 后 板 
默认 清理 和 项 


图 6-14 ”全面 清理 上 网 痕迹 


3. IE 修复 专家 


只 要 使 用 IE 上 网 ,用 户 的 计算 机 就 有 可 能 受到 攻击 ,其 中 I 下 浏览 器 本 身 也 不 例外 。 

当下 浏览 器 受到 攻击 后 ,会 出 现 浏览 器 工作 不 正常 的 现象 ,严重 时 IE 浏览 器 根本 
不 能 工作 。 

使 用 ”IE 修复 专家 ?功能 ,可 以 修复 IE 浏览 器 ,特别 是 使 用 “强力 修复 ”功能 ,可 以 使 
浏览 器 复原 到 最 原始 的 状况 。IE 修复 专家 如 图 6-15 所 示 。 
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从 复 专家 “雅典 助手 


一 全 面 扫 拱 并 修复 多 达 161 个 可 疑 位 置 ( 3 党 于 同类 软件 》 
是 新 靖 简 特 证 庄 


一 键 修复 推荐 + 
bz 修复 专家 屋 能 选修 复方 案 ,无 再 二 预 , 一 刍 成 


高 级 修复 
列 册 所 有 补 修 竣 过 的 条 目 ， 划 分 安全 等 四 ， 修 可 以 日 行 先 怪 修复 


强力 修复 小 心情 用 ? 
全 村 各 所 更改 的 亲民 ,村 还 原 为 安 关 的 妇 相 估 可 


如 果 修 复 之 后 问题 仍 北 没有 解决 ,可 以 请 高 手 帮 助 


图 6-15 IE 修复 专家 


只 要 连接 到 Internet 网 络 上 ,各 种 各 样 的 广告 就 会 铺天盖地 地 向 连接 的 计算 机 扑 
来 ,让 用 户 困 惑 和 心烦 。 如 果 不 希 望 无 关 的 广告 “骚扰 ,可 使 用 "上 网 助手 ”的 “广告 拦 
截 "功能 屏蔽 广告 。 
图 6-16 是 广告 拦截 窗口 。 使 用 方法 是 : 首先 用 “开启 广告 拦截 "选项 卡 进行 拦截 广 
告 类 型 设置 ,然后 用 “高 级 设置 "选项 卡 进行 拦截 级 别 设置 ,并 单 击 “确定 ”按钮 。 可 用 “拦截 
广告 拦截 设置 
开矿 车 拉夫 | 训 下 设 置 | 拉夫 信息 统计 “| 


雅克 助手 根据 月 户 的 联网 方式 提供 了 不 月 的 广 洁 拦 项 方案 。 请 选择 您 
所 属 的 开户 类型 或 直 深 河 过 搓 共 内容 进 和 定制: 


友 拦 者 出 广 洁 

三 拦 二 页 面 浮动 广告 
证 拦 蕊 Gashr 第 

友 拦 苍 rindows 信 使 广告 


二 披 S 月 户 合 家 应 在 带 肝 户 硬 力 公 刘 用 户 坊 默 轩 


图 6-16 广告 拦截 
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信息 统计 ”选项 卡 查看 广告 拦截 情况 。 
5. IE 插件 管理 


使 用 “IE 插件 管理 ?功能 可 对 网 页 中 各 种 弹出 式 窗口 进行 管理 , 即 可 屏蔽 用 户 不 希望 
在 IE 浏览 器 中 看 到 的 弹出 窗口 。IE 插件 管理 如 图 6-17 所 示 。 


TE 主管 理 入 家 


@ 以 下 是 网 上 流行 的 s 大 共 194 各 弹 册 插件 ,入 沈 相应 白 件 ,点击 右 下 方 近 沁 更 9 拦 基 估 帮 。( 了 解 更 多 

插件 名 称 | 基站 揪 作 让 绍 

口 四 news 工具 条 天 属 拉 杨 自 如 exs 工具 条 

口 @ cnc 本 用 网 站 或 卫 对 和 府 拦 机 

De tt | 
raclspidar 工具 条 0 引进 : 人 ae 工具 条 ,提供 全 

口 @ :oae IR# 允许 漳 册 球 网 站 排名 和 流量 分 析 参考 

DO nsw IRS 公 许 弹出 

DO rr TAF 入 洗 弹 出 

DO Portusearshing 工具 条 和 底 拦 扫 

口 @@ :srt 工具 条 彻 认 拉 区 

口 @ seor 扫 S 可 nai | 


竹下 过 


图 6-17 IE 插件 管理 


673 缓冲 区 溢出 的 防范 技术 
1. 缓冲 区 溢出 及 堆栈 溢出 


1) 缓冲 区 溢出 
究竟 什么 缓冲 区 溢出 漏洞 ,溢出 究竟 是 怎么 发 生 的 。 先 看 下 面 一 段 简单 的 C 程序 
代码 : 


char buf[ 8]; 
gets ouf); 
} 


程序 运行 的 时 候 , 如 果 输 入 Hello, 或 者 Kitty, 那 么 程序 运行 一 切 正常 ,但 是 如 果 输 
入 Today is a good day( 这 里 有 17 个 字符 而 要 占 18 个 字 节 ,因为 字符 串 的 最 后 系统 会 自 
动 添加 一 个 结束 符 ) ,程序 将 会 发 生 溢出 。 特 别 要 注意 的 是 , 当 输 入 的 字符 刚好 是 8 个 字 
符 的 字符 串 Than You 时 也 会 发 生 溢出 ,这 是 C 语言 的 字符 串 系 统 自动 会 在 后 面 加 入 一 
个 结束 符 “\0” 所 致 。 很 显然 ,buf 这 个 数组 只 申请 了 8 个 字 节 的 内 存 空 间 , 而 输入 的 字符 
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却 超过 了 这 个 数目 ,于 是 ,多 余 的 字符 将 会 占领 程序 中 不 属于 自己 的 内 存 。 因 为 C/C++ 
语言 并 不 检查 边界 ,于 是 ,程序 将 看 似 正常 继续 运行 。 如 果 被 溢出 部 分 占领 的 内 存 并 不 
重要 ,或 者 是 一 块 没有 使 用 的 内 存 , 那 么 ,程序 将 会 运行 直至 结束 。 但 是 ,如 果 溢 出 部 分 
占领 的 正好 是 存放 了 程序 重要 数据 的 内 存 , 那 么 一 切 后 果 将 会 不 堪 设想 。 

下 面 再 举 一 个 缓冲 区 溢出 的 例子 。 在 这 一 例子 中 ,假设 变量 aal ,aa2 和 aa3 所 分 配 
的 是 一 片 连续 的 内 存单 元 。 

#include < stdio.h> 

voidmain0) 

{char aal[ ]= {"01234567BN 0abodefd\ 0"}; 

char aad 10] ,aai 8]= {"Chinese 0"}; 

int i,j; 

for (i=0;i<18;i+t+ ) 

{aad =aal[i];} 
Printf(\n aa2-% 5 aa3- 当 5"aa2,aa3)7 
} 

在 这 一 段 C 程序 中 ,定义 了 3 个 缓冲 区 aal、aa2 和 aa3, 并 对 aal 和 aa3 分 别 赋 初 值 
为 “012345678\0abcdefg\0” 和 “Chinese\0”, 而 aa2 未 赋 初 值 。 这 里 的 “\0” 为 字符 串 结 
东 符 。 

程序 运行 时 ,通过 for (i 二 0;i 二 18;i 十 十 ) {aa2[ 训 =aal[i 襄 ;} 循 环 语句 将 缓冲 区 aal 
的 值 赋 给 aa2( 共 19 个 字符 ) ,由 于 缓冲 区 aa2 只 定义 了 10 个 字 节 长 度 , 所 以 只 能 存放 
aal 的 前 10 个 字符 , 即 “012345678\0”, 而 aal 第 11 个 以 后 的 字符 则 放 在 了 缓冲 区 aa2 之 
后 的 存储 单元 aa3 中 。 所 以 , 当 程 序 运行 结束 时 ,缓冲 区 aa3 中 的 内 容 已 不 再 是 “Chinese 
\0" 而 是 “abcdefg\0”。 程 序 运行 结果 如 下 : 


aa 012345678 ”aa 于 abcdefg 


实际 上 ,缓冲 区 溢出 通常 有 两 种 : 堆 溢出 和 堆栈 溢出 。 尽 管 两 者 实质 都 是 一 样 的 ,但 
利用 的 方式 不 同 ,将 在 下 面 分 别 介绍 。 
通常 在 程序 运行 时 ,内 存 中 包含 下 述 内 容 。 
。 程序 参数 和 程序 环境 。 
程序 堆栈 。 通 常 在 程序 执行 时 增长 ,向 下 朝 堆 增长 。 
堆 。 也 在 程序 执行 时 增长 ,相反 ,向 上 朝 堆栈 增长 。 
BSS 段 。 包含 未 初始 化 的 全 局 可 用 的 数据 (例如 全 局 变量 )。 
数据 段 。 包 含 初始 化 的 全 局 可 用 的 数据 (通常 是 全 局 变量 ) 。 
文本 段 。 包 含 只 读 程序 代码 。 
BSS 数据 和 文本 段 组 成 静态 内 存 。 在 程序 运行 之 前 这 些 段 的 大 小 已 经 固定 。 程 
序 运行 时 虽然 可 以 更 改 个 别 变量 ,但 不 能 将 数据 分 配 到 这 些 段 中 。 
下 面 以 一 个 简单 的 例子 来 说 明 。 


# include< stdio.h> 
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char puff 3]= "abc"; 

int i; 

void main() 

上 
= 
retum; 
} 
其 中 ,i 属于 BBS 段 ,而 buf 属于 数据 段 。 两 者 都 属于 静态 内 存 ,因为 他 们 在 程序 中 虽然 
可 以 改变 值 , 但 是 其 分 配 的 内 存 大 小 是 固定 的 , 若 buf 的 数据 大 于 3 个 字符 ,将 会 覆盖 其 
后 内 存单 元 的 数据 。 

与 静态 内 存 形成 对 比 , 堆 和 堆栈 是 动态 的 ,可 以 在 程序 运行 的 时 候 改 变 大 小 。 堆 的 
程序 接口 因 语言 而 异 。 在 C 语言 中 , 堆 是 经 由 malloc() 和 其 他 相关 函数 来 访问 的 ,而 
C++ 中 的 new 运算 符 则 是 堆 的 程序 接口 。 堆 栈 则 比较 特殊 ,主要 是 在 调用 函数 时 用 来 
保存 现场 ,以 便 函 数 返回 之 后 能 继续 运行 。 

2) 堆 溢 出 

堆 溢 出 的 思路 很 简单 ,覆盖 重要 的 变量 以 达到 自己 的 目的 。 而 在 实际 操作 的 时 候 ， 
这 显得 比较 困难 ,尤其 是 源 代 码 不 可 见 的 时 候 。 第 一 ,必须 确定 哪个 变量 是 重要 的 变量 ， 
第 二 ,必须 找到 一 个 内 存 地 址 比 目 标 变量 低 的 滋 出 点 ;第 三 ,在 特定 目的 下 ,还 必须 让 在 
为 了 覆盖 目标 变量 而 在 中 途 覆 盖 了 其 他 变量 之 后 ,程序 依然 能 运行 下 去 。 下 面 是 一 个 堆 
溢出 的 例子 。 

# include "malloc.h" 

# include "string.h" 

# include "stdio.h" 

void main() 

{char * large str = (char * )malloc(sizeof (char) * 1024); 

char * important= (char * )malloc (sizeof (char) * ©); 

char * str = (char * )malloc(sizeof (char) * 4); 

strqpy (important, "abodef"); //* 给 jmportant 同 初 值 

//* 下 面 的 两 行 代码 是 为 了 查看 Str 和 important 的 地 址 。 

printf ("% An", str); 

Printf ("s An", important); 

ets (large str); //* 输 入 一 个 字符 囊 

Stropy (str, large_ str); /1/* 将 输入 的 字符 囊 复制 到 str 

Printf ("important :% 3A\n", important); 

Printf ("str:% \n", str);} 

在 这 一 程序 中 ,所 达到 的 目标 是 在 没有 给 变量 important 赋值 的 情况 下 使 其 内 容 为 
hacker。 

str 和 important 的 地 址 在 不 同 的 运行 环境 中 是 不 同 的 ,在 这 里 ,假定 str 和 important 
的 内 存 地 址 分 别 为 xxxx2146 和 xxxx2130。important 的 地 址 比 str 大 ,这 就 为 溢出 创造 
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了 可 能 。 通 过 计算 可 知 ,两 地 址 间 间 隔 了 16 个 字 节 。 在 程序 运行 时 ,输入 字符 串 
“1234567890abcdefhacker”。 从 程序 执行 过 程 中 可 看 出 ,虽然 只 给 变量 large_str 输入 字 
符 串 "1234567890abcdefhacker”, 并 将 其 复制 到 str 中 ,并 没有 对 important 重新 赋值 ,但 
其 结果 是 important 的 内 容 变 成 了 hacker。 

3) 堆栈 溢出 

堆 溢 出 的 一 个 关键 问题 是 很 难 找到 所 谓 的 重要 变量 ,而 堆栈 溢出 则 不 存在 这 个 问 
题 ,因为 它 将 覆盖 一 个 非常 重要 的 内 容 , 函 数 的 返回 地 址 。 在 进行 函数 调用 的 时 候 , 断 点 
或 者 说 返回 地 址 将 保存 到 堆栈 里 面 ,以 便 函数 结束 之 后 能 继续 从 该 处 运行 。 而 堆栈 溢出 
的 思路 就 是 在 函数 里 面 找到 一 个 溢出 点 ,把 堆栈 里 面 的 返回 地 址 覆盖 ,替换 成 一 个 自己 
指定 的 地 址 。 这 里 的 目标 是 写 出 一 个 通过 覆盖 堆栈 返回 地 址 而 让 程序 执行 到 另 一 个 函 
数 的 堆栈 溢出 演示 程序 。 

因为 堆栈 是 往 下 增加 的 ,因此 ,先进 入 堆栈 的 地 址 反而 大 ,这 为 在 函数 中 找到 溢出 点 
提供 了 可 能 。 试 想 , 如 果 堆 栈 是 往 上 增加 的 ,那么 将 永远 无 法 在 函数 里 面 找到 一 个 溢出 
点 去 覆盖 返回 地 址 。 用 一 个 简单 的 例子 进行 说 明 。 

void test (int i) 

{char puff 12]; 

printf ("si=% d\n", i); 

printf ("ghuff 0]=% An",buf) ;} 

void main() 

{test (1);} 

test 函数 具有 一 个 局 部 参数 和 一 个 静态 分 配 的 缓冲 区 。 

在 这 里 ,假设 输出 结果 为 &i 一 6684072 &buf[0] 二 6684052。 当 调用 一 个 函数 的 时 
候 ,首先 是 参数 入 栈 , 然 后 是 返回 地 址 。 并 且 , 这 些 数 据 都 是 倒 着 表示 的 ,因为 返回 地 址 
是 4 个 字 节 ,所 以 可 以 知道 ,返回 地 址 应 该 是 保存 在 6684068 一 6684071 之 间 。 因 为 数据 
是 倒 着 表示 的 ,所 以 实际 上 返回 地 址 就 是 : 

buf[19] * 256 * 256 * 256 十 buf[18] * 256 * 256 十 buf[17] * 256 十 buf[16]。 

所 要 求 的 目标 还 没有 达到 ,下 面 继 续 。 在 上 面 程序 的 基础 ,修改 成 : 

#include < stdio.h> 

void main() 

{void test (int i);» 

test (1);} 

void test (int i) 

{void come (); 

char buf[ 13];// 用 于 发 生 溢出 的 数组 

int ad 4]; 

int j= (int)si- (int)buf;// 计 算 参 数 到 溢出 数组 之 间 的 距离 

int go= (int) some; 

// 由 于 EIP 地 址 是 倒 着 表示 的 ,所 以 首先 把 cmme(0) 函 教 的 地 址 分 离 成 宇 节 

ad 0]= go<< 24)>>24; 
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adod 1]= (go<< 16)>>24; 

addr| 2]= (go<< 8)>>24; 

adddf 3]=go>> 24; 

// 用 come (0) 函数 的 地 址 履 盖 EIP 

for(int j=0;j< git+ ) 

{ok 1]=addd 3-];}} 

Void ome() 

{printf ("Sucoess!") ;} 

程序 运行 之 后 ,字符 串 Success! 成 功 地 显示 出 来 。 注 意 ,由 于 这 个 程序 破坏 了 堆 
栈 , 在 运行 过 程 中 会 提示 : Abnormal program termination。 


2. 如 何 应 对 缓冲 区 溢出 漏洞 攻击 


目前 有 4 种 方法 保护 缓冲 区 免 受 缓冲 区 溢出 的 攻击 和 影响 。 即 编写 正确 的 代码 , 非 
执行 的 缓冲 区 ,数组 边界 检查 及 程序 指针 完整 性 检查 。 

1) 编写 正确 的 代码 

编写 正确 的 代码 是 一 件 非常 有 意义 但 耗 时 的 工作 ,特别 是 像 编写 C 语言 那 种 具有 容 
易 出 错 倾向 的 程序 (如 字符 串 的 结束 符 ), 这 种 风格 是 由 于 采用 了 追求 性 能 而 忽视 正确 性 
的 传统 方法 引起 的 。 尽 管 花 了 很 长 的 时 间 但 依然 有 安全 漏洞 的 程序 存在 。 因 此 人 们 开 
发 了 一 些 工具 和 技术 来 帮助 经 验 不 足 的 程序 员 编写 安全 正确 的 程序 。 

最 简单 的 方法 就 是 用 grep 来 搜索 源 代码 中 容易 产生 漏洞 的 库 的 调用 ,比如 对 strcpy 
和 sprintf 的 调用 ,这 两 个 函数 都 没有 检查 输入 参数 的 长 度 。 事 实 上 ,各 个 版 本 C 的 标准 
库 均 有 这 样 的 问题 存在 。 为 了 寻找 一 些 常见 的 诸如 缓冲 区 溢出 和 操作 系统 漏洞 ,一 些 代 
码 检查 小 组 检查 了 很 多 的 代码 。 然 而 依然 有 漏网 之 鱼 存在 。 尽 管 采用 了 strcpy 和 
sprintf 这 些 替 代 函 数 来 防止 缓冲 区 溢出 的 发 生 ,但 是 由 于 编写 代码 的 问题 ,仍旧 会 有 这 
种 情况 发 生 。 比 如 lprm 程序 就 是 最 好 的 例子 ,虽然 它 通过 了 代码 的 安全 检查 ,但 仍然 有 
缓冲 区 溢出 的 问题 存在 。 

为 了 解决 这 些 问 题 , 人 们 开发 了 一 些 高 级 的 查 错 工 具 , 如 faultinjection。 这 些 工具 的 
目的 在 于 通过 人 为 随机 地 产生 一 些 缓冲 区 溢出 来 寻找 代码 的 安全 漏洞 。 还 有 一 些 静 态 
分 析 工 具 用 于 侦 测 缓冲 区 溢出 的 存在 。 虽 然 这 些 工 具 可 以 帮助 程序 员 开发 更 安全 的 程 
序 ,但 是 由 于 C 语言 的 特点 ,这 些 工 具 不 可 能 找 出 所 有 的 缓冲 区 溢出 漏洞 。 所 以 , 侦 错 技 
术 只 能 用 来 减少 缓冲 区 溢出 的 可 能 ,并 不 能 完全 地 消除 它 的 存在 ,除非 程序 员 能 保证 他 
的 程序 万 无 一 失 。 

2) 非 执行 的 缓冲 区 

通过 使 被 攻击 程序 的 数据 段 地 址 空间 不 可 执行 ,从 而 使 得 攻击 者 不 可 能 执行 被 植 入 
被 攻击 程序 输入 缓冲 区 的 代码 ,这 种 技术 被 称 为 非 执 行 的 缓冲 区 技术 。 事 实 上 ,很 多 旧 
版 本 的 UNIX 系统 都 是 这 样 设计 的 ,但 是 近来 的 UNIX 和 MS Windows 系统 为 实现 更 好 
的 性 能 和 功能 ,往往 在 数据 段 中 动态 地 放 和 人 可 执行 的 代码 。 所 以 为 了 保持 程序 的 兼容 性 
不 可 能 将 所 有 数据 段 设 计 成 不 可 执行 。 但 是 可 以 设 定 堆栈 数据 段 不 可 执行 ,这 样 就 可 以 
最 大 限度 地 保证 了 程序 的 兼容 性 。Linux 和 Solaris 都 发 布 了 有 关 这 方面 的 内 核 补 丁 。 
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3) 数组 边界 检查 

植 入 代码 引起 缓冲 区 溢出 是 一 个 方面 ,扰乱 程序 的 执行 流程 是 另 一 个 方面 。 不 像 非 
执行 缓冲 区 保护 ,数组 边界 检查 完全 能 避免 缓冲 区 溢出 的 产生 和 攻击 。 这 样 , 只 要 数组 
不 能 被 溢出 ,溢出 攻击 也 就 无 从 谈 起 。 为 了 实现 数组 边界 检查 ,所 有 的 对 数组 的 读 写 操 
作 都 应 当 被 检查 以 确保 对 数组 的 操作 在 正确 的 范围 内 。 最 直接 的 方法 是 检查 所 有 的 数 
组 操作 ,通常 可 以 用 一 些 优 化 的 技术 来 减少 检查 的 次 数 。 目 前 有 以 下 的 几 种 检查 
方法 。 

(1) Compaq C 编译 器 。 

Compaq 公司 为 Alpha CPU 开发 的 C 编译 器 支持 有 限度 的 边界 检查 。 这 些 限制 是 ， 
只 有 显示 的 数组 引用 才 被 检查 ,比如 “a[3]” 会 被 检查 ,而 * x* (a 十 3)” 则 不 会 。 由 于 所 有 
的 C 数组 在 传送 的 时 候 是 指针 传递 的 ,所 以 传递 给 函数 的 数组 不 会 被 检查 。 带 有 危险 性 
的 库 函 数 如 strcpy 不 会 在 编译 的 时 候 进行 边界 检查 。 在 C 语言 中 利用 指针 进行 数组 操 
作 和 传递 是 非常 频繁 的 ,因此 这 种 局 限 性 是 非常 严重 的 。 通 常 这 种 边界 检查 用 来 进行 程 
序 的 查 错 , 而 且 不 能 保证 不 发 生 缓冲 区 溢出 的 漏洞 。 

(2) Jones&Kelly(C 的 数组 边界 检查 ) 。 

Richard Jones 和 Paul Kelly 开发 了 一 个 gcc 的 补丁 ,用 来 实现 对 C 程序 完全 的 数组 
边界 检查 。 由 于 没有 改变 指针 的 含义 ,所 以 被 编译 的 程序 和 其 他 的 gcc 模块 具有 很 好 的 
兼容 性 。 更 进一步 的 是 ,他 们 由 此 从 没有 指针 的 表达 式 中 导出 了 一 个 * 基 ?指针 ,然后 通 
过 检查 这 个 基 指 针 来 侦 测 表达 式 的 结果 是 否 在 容许 的 范围 之 内 。 当 然 , 这 样 付出 的 性 能 
上 的 代价 是 巨大 的 ,对 于 一 个 频繁 使 用 指针 的 程序 ,如 向 量 乘法 ,会 由 于 指针 的 频繁 使 用 
而 使 速度 慢 若 干 倍 。 

(3) Purify( 存 储 器 存 取 检 查 ) 。 

Purify 是 C 程序 调试 时 查看 存储 器 使 用 的 工具 而 不 是 专用 的 安全 工具 。Purify 使 
用 “目标 代码 插入 "技术 来 检查 所 有 的 存储 器 存 取 。 通 过 用 Purify 连接 工具 连接 ,可 执行 
代码 在 执行 的 时 候 带 来 性 能 的 损失 会 使 程序 的 运行 速度 下 降 若干 倍 。 

(4) 类 型 一 一 安全 语言 。 

所 有 的 缓冲 区 溢出 漏洞 都 源 于 C 语言 的 类 型 安全 。 如 果 只 有 类 型 -安全 的 操作 才 可 
以 被 允许 执行 ,这 样 就 不 可 能 出 现 对 变量 的 强制 操作 。 如 果 作为 新 手 ,可 以 推荐 使 用 具 
有 类 型 -安全 的 语言 ,如 Java 和 ML。 

4) 程序 指针 完整 性 检查 

程序 指针 完整 性 检查 和 边界 检查 略 有 不 同 。 与 防止 程序 指针 被 改变 不 同 , 程 序 指针 
完整 性 检查 在 程序 指针 被 引用 之 前 进行 检测 。 因 此 ,即便 一 个 攻击 者 成 功 地 改变 程序 的 
指针 ,由 于 系统 事先 检测 到 了 指针 的 改变 .因此 这 个 指针 将 不 会 被 使 用 。 与 数组 边界 检 
查 相 比 ,这 种 方法 不 能 解决 所 有 的 缓冲 区 溢出 问题 ;采用 其 他 的 缓冲 区 溢出 方法 就 可 以 
避免 这 种 检测 。 但 是 这 种 方法 在 性 能 上 有 很 大 的 优势 ,而 且 兼容 性 也 很 好 。 

(1) 堆栈 保护 。 

堆栈 保护 是 一 种 提供 程序 指针 完整 性 检查 的 编译 器 技术 ,通过 检查 函数 活动 纪录 中 
的 返回 地 址 来 实现 。 堆 栈 保护 是 在 每 个 函数 中 ,加 入 了 函数 建立 和 销毁 的 代码 。 加 入 的 
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函数 建立 代码 实际 上 在 堆栈 中 函数 返回 地 址 后 面 加 了 一 些 附加 的 字 节 。 而 在 函数 返回 
时 ,首先 检查 这 个 附加 的 字 节 是 否 被 改动 过 ,如 果 发 生 过 缓冲 区 溢出 的 攻击 ,那么 这 种 攻 
击 很 容易 在 函数 返回 前 被 检测 到 。 但 是 ,如 果 攻 击 者 预见 到 这 些 附 加 字 节 的 存在 ,并 且 
能 在 溢出 过 程 中 同样 地 制造 他 们 ,那么 它 就 能 成 功 地 跳 过 堆栈 保护 的 检测 。 

(2) 指针 保护 。 

在 堆栈 保护 设计 的 时 候 ,冲击 堆栈 构成 了 缓冲 区 溢出 攻击 的 常见 形式 。 有 人 推测 存 
在 一 种 模板 来 构成 这 些 攻击 。 因 此 ,很 多 简单 的 漏洞 被 发 现 ,很 多 攻击 者 开始 用 一 般 的 
方法 实施 缓冲 区 溢出 攻击 。 指 针 保护 是 堆 钱 保护 的 推广 。 通 过 在 所 有 的 代码 指针 之 后 
放置 附加 字 节 来 检验 指针 在 被 调用 之 前 的 合法 性 ,如 果 检 验 失败 ,会 发 出 报警 信号 和 退 
出 程序 的 执行 ,就 如 同 在 堆栈 保护 中 的 行为 一 样 。 


习 题 6 


1. 局 域 网 络 安全 涉及 哪些 内 容 ? 

2. 局 域 网 络 在 安全 方面 存在 哪些 缺陷 ? 
3. 局 域 网 络 的 安全 措施 包括 哪儿 个 方面 ? 
4. 广域网 安全 策略 是 什么 ? 

5. 无 线 局 域 网 的 安全 技术 主要 有 哪些 ? 
6. OSI 安全 模型 是 什么 ? 

7. TCPVIP 安全 模型 是 什么 ? 

8. Web 服务 器 的 安全 预防 措施 是 什么 ? 
9. 如 何 设 置 下 浏览 器 的 安全 级 别 ? 

10. 什么 是 电子 邮件 炸弹 ? 

11. IPv4 安全 性 包括 哪些 内 容 ? 

12. IPv6 的 安全 性 包括 哪些 内 容 ? 

13. 应 对 缓冲 区 溢出 漏洞 攻击 有 哪些 措施 ? 


第 7 登 ehapter 7 | 
网 络 操作 系统 安全 


网 络 操作 系统 很 多 ,有 Novell 公司 的 Netware, Microsoft 公司 的 Windows NT Server、 
Windows 2000/2003 Server, 还 有 UNIX、Linux 等 。 在 这 一 章 中 ,介绍 两 款 常用 的 网 络 操作 
系统 ,Windows 2000/2003 Server 和 UNIX 的 安全 技术 。 


71 Windmws 20002003 Server 安全 


711 Windows 2000 Server 安全 


Microsoft 公司 的 Windows 2000 Server 操作 系统 因 其 界面 友好 直观 .操作 方便 、 功 
能 强大 而 受到 广大 用 户 的 青睐 ,很 多 的 应 用 系统 都 运行 在 Windows 2000 Server 操作 系 
统 上 。 如 何 才能 搭建 一 个 安全 的 操作 系统 是 安全 管理 人 员 所 关心 的 问题 。 


1，Windows 2000 Server 操作 系统 安全 分 析 


1) 系统 安装 隐患 

在 一 台 服 务 器 上 安装 Windows 2000 Server 操作 系统 ,主要 存在 以 下 安全 隐患: 

。 将 服务 器 接 人 网 络 进行 系统 安装 。Windows 2000 Server 操作 系统 在 安装 时 存 
在 一 个 安全 漏洞 , 当 输入 Administrator 密码 后 ,系统 就 自动 建立 了 ADMIN $ 
的 共享 ,但 是 并 没有 用 刚刚 输入 的 密码 来 保护 它 , 这 种 情况 一 直 持续 到 再 次 启 
动 计算 机 ,在 此 期 间 , 任 何人 都 可 以 通过 ADMIN$ 进入 这 台 机 器 ;同时 ,只 要 
安装 一 结束 ,各 种 服务 就 会 自动 运行 ,而 这 时 的 服务 器 是 满 身 漏洞 ,计算 机 病毒 
非常 容易 侵入 。 因 此 .车 将 服务 器 接 入 网 络 后 再 进行 操作 系统 的 安装 是 很 不 安 
全 的 。 

操作 系统 与 应 用 系统 共用 一 个 磁盘 分 区 。 在 安装 操作 系统 时 ,将 操作 系统 与 应 用 
系统 安装 在 同一 个 磁盘 分 区 ,会 导致 一 旦 操作 系统 文件 泄露 时 ,攻击 者 可 以 通过 
操作 系统 漏洞 获取 应 用 系统 的 访问 权限 ,从 而 影响 应 用 系统 的 安全 运行 。 

采用 FAT32 文件 格式 安装 。FAT32 文件 格式 不 能 限制 用 户 对 文件 的 访问 ,会 导 
致 系统 的 不 安全 。 

。 采用 默认 安装 。 默 认 安装 操作 系统 时 ,会 自动 安装 一 些 有 安全 隐患 的 组 件 , 如 
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IIS.DHCP 和 DNS 等 ,导致 系统 在 安装 后 存在 多 种 安全 漏洞 。 

系统 补丁 安装 不 及 时 不 全 面 。 在 系统 安装 完成 后 , 若 不 及 时 安装 系统 补丁 程序 ， 
会 导致 病毒 侵入 。 

2) 运行 隐患 

在 系统 运行 过 程 中 ,主要 存在 以 下 隐患 : 

。 默认 共享 。 系统 在 运行 后 ,会 自动 创建 一 些 默认 的 共享 : 一 是 C$ .D$ .ES$ 每 个 
分 区 的 根 共 享 目录 ;二 是 ADMIN $ 远程 管理 用 的 共享 目录 ;三 是 IPC$ 空 连 
接 ; 四 是 NetLogon 共享 ;五 是 其 他 系统 默认 共享 ,如 FAX $ 、PRINT$ 共享 等 。 
这 些 默 认 共 享 给 系统 的 安全 运行 带 来 了 很 大 的 隐患 。 

默认 服务 。 系 统 在 运行 后 ,自动 启动 了 许多 有 安全 隐患 的 服务 ,如 Telnet Services、 
DHCP Client、 DNS Client、Print spooler, Remote Registry services, SNMP Services、 
Terminal Services 等 。 这 些 服务 在 实际 工作 中 如 不 需要 ,可 以 将 其 禁用 或 关闭 。 
安全 策略 。 系 统 运行 后 ,默认 情况 下 ,系统 的 安全 策略 是 不 起 作用 的 ,这 降低 了 系 
统 的 运行 安全 性 。 

管理 员 账号 。 系 统 在 运行 后 ,由 于 Administrator 用 户 账号 是 不 能 停 用 的 ,导致 攻 
击 者 可 以 一 遍 又 一 遍地 尝试 猜测 这 个 账号 的 口令 。 此 外 ,设置 简单 的 用 户 账号 口 
令 也 会 给 系统 的 运行 带 来 安全 隐患 。 

页 面 文件 。 页 面 文件 是 用 来 存储 没有 装 和 内存 的 程序 和 数据 文件 部 分 的 隐藏 文 
件 。 页 面 文件 中 可 能 含有 一 些 敏感 的 资料 ,有 可 能 造成 系统 信息 的 泄露 。 

共享 文件 。 默 认 状 态 下 ,每 个 人 对 新 创建 的 文件 共享 都 拥有 完全 控制 权限 ,这 是 
非常 危险 的 ,应 严格 限制 用 户 对 共享 文件 的 访问 。 

Dump 文件 。Dump 文件 在 系统 崩溃 和 蓝屏 的 时 候 是 一 份 很 有 用 的 查找 问题 的 
资料 。 然 而 , 它 也 能 够 给 攻击 者 提供 一 些 敏 感 信息 ,比如 一 些 应 用 程序 的 口令 等 ， 
造成 信息 泄露 。 

Web 服务 。 系 统 本 身 自 带 的 IIS 服务 FTP 服务 存在 安全 隐患 ,容易 导致 系统 成 
为 攻击 对 象 。 


2. 安全 防范 对 策 


1) 安装 对 策 

在 进行 系统 安装 时 ,可 采取 以 下 对 策 : 

。 在 完全 安装 、 配 置 好 操作 系统 ,并 给 系统 全 部 安装 系统 补丁 之 前 ,一定 不 要 把 计算 
机 接 入 网 络 。 

。 在 安装 操作 系统 时 ,建议 至 少 分 3 个 磁盘 分 区 。 第 1 个 分 区 用 来 安装 操作 系统 ， 
第 2 个 分 区 存放 IIS、FTP 和 各 种 应 用 程序 ,第 3 个 分 区 存放 重要 的 数据 和 日 志 
六 件 。 

。 采 用 NTFS 文件 格式 安装 操作 系统 ,可 以 保证 文件 的 安全 ,控制 用 户 对 文件 的 访 
问 权限 。 

。 在 安装 系统 组 件 时 ,不 要 采用 默认 安装 ,删除 系统 默认 选中 的 IS.DHCP 和 DNS 
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等 服务 。 

。 在 安装 完 操作 系统 后 ,应 先 安装 在 其 上 面 的 应 用 系统 ,然后 安装 系统 补丁 。 

2) 运行 对 策 

在 系统 运行 时 ,可 采取 以 下 对 策 : 

(1) 关闭 系统 默认 共享 。 

方法 一 ,采用 批 处 理 文件 在 系统 启动 后 自动 删除 共享 。 首选 在 Cmd 提示 符 下 输入 Net 
Share 命令 ,查看 系统 自动 运行 的 所 有 共享 目录 。 然 后 建立 一 个 批 处 理 文件 SHAREDEL. 
BAT ,将 该 批 处 理 文件 放 入 计划 任务 中 ,并 设置 成 每 次 开机 时 自动 运行 。 文 件 内 容 如 下 : 


NET SHARE C$ /TEIETE 
NET SHARE DS /TDETETE 


NET SHARE ES /TEIETE 


NET SHARE IPCS /MEIETE 

NET SHARE AIMINS 。 /[EIETE 

方法 二 ,修改 系统 注册 表 , 禁 止 默 认 共享 功能 。 在 Local_Machine System Current- 
ControlSetServicesLanmanServerParameters 下 新 建 一 个 双 字 节 项 auto shareserver, 将 
其 值 填 为 0。 

方法 三 , 若 要 禁止 这 些 共 享 , 打 开 * 管 理工 具 ”|* 计 算 机 管理 "|* 共 享 文件 夹 "|“ 共 
享 ”, 在 相应 的 共享 文件 夹 上 单 击 鼠标 右键 ,选择 “停止 共享 " 即 可 。 要 注意 的 是 ,在 机 器 
重新 启动 后 ,这 些 共享 又 会 重新 自动 开启 。 

(2) 删除 多 余 的 不 需要 的 网 络 协 议 。 

删除 网 络 协议 中 的 NWLink NetBIOS 协议 .NWLink IPX/SPX/NetBIOS 协议 和 
NetBEUI PROtocol 协议 和 服务 等 ,只 保留 TCP/IP 网 络 通信 协议 。 

(3) 关闭 不 必要 的 有 安全 隐患 的 服务 。 

用 户 可 以 根据 实际 情况 ,关闭 表 7-1 中 所 示 的 系统 自动 运行 带 有 安全 隐患 的 网 络 
服务 。 

表 7-1 具有 安全 隐患 的 服务 


服务 名称 操作 设置 服务 名 称 操作 设置 
DHCP Client 停止 并 禁用 SNMP Services 停止 并 禁用 
DNS Client 停止 并 禁用 Telnet Services 禁用 
Print spooler 停止 并 禁用 Terminal Services 禁用 
Remote Registry Services 停止 并 禁用 


(4) 启用 安全 策略 。 
安全 策略 包括 以 下 5 个 方面 : 
。 账号 锁定 策略 。 设 置 账号 锁定 阔 值 ,3 一 5 次 无 效 登录 后 , 即 锁定 账号 。 账 号 锁定 
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策略 如 表 7-2 所 示 。 
表 7-2 账号 锁定 策略 
策 了 略 设 置 策 上 略 设 置 
复位 账户 锁定 计数 器 20min 账户 锁定 时 间 20min 
账户 锁定 阔 值 3 次 


密码 策略 。 一 是 密码 必须 符合 复杂 性 要 求 ; 二 是 服务 器 密码 长 度 最 少 设置 为 8 个 
字符 以 上 ;三 是 密码 最 长 保留 期 一 般 设 置 为 1 一 3 个 月 , 即 30 一 90 天 ;四 是 密码 最 
短 存留 期 为 3 天 ;五 是 强制 密码 历史 , 记 住 的 密码 个 数 为 0; 六 是 运行 “为 域 中 所 
有 用 户 使 用 可 还 原 的 加 密 来 储存 密码 " 停 用 。 密 码 策略 如 表 7-3 所 示 。 


表 7-3 密码 策略 
策 略 设 置 策 了 略 设 置 
密码 复杂 性 要 求 启用 强制 密码 历史 5 次 
密码 长 度 最 小 值 6 位 密码 最 长 存留 时 间 42 天 


审核 策略 。 审 核 策略 在 系统 默认 安装 时 是 关闭 的 。 激 活 此 功能 有 利于 管理 员 很 
好 地 掌握 机 器 的 运行 状态 ,有 利于 系统 的 人 侵 检测 。 可 以 从 日 志 中 了 解 到 机 器 是 
否 被 人 蛮 力 攻击 ,非法 的 文件 访问 等 。 开 启 安全 审核 是 系统 最 基本 的 入 侵 检 测 方 
法 。 当 攻击 者 尝试 对 用 户 的 系统 进行 某 些 方式 (如 尝试 用 户口 令 ,改变 账号 策略 
及 未 经 许可 的 文件 访问 等 ) 和 人 侵 的 时 候 , 都 会 被 安全 审核 记录 下 来 。 避 免 不 能 及 
时 察觉 系统 遭受 的 人 侵 以 致 系统 遭 到 破坏 。 建 议 至 少 要 开启 审核 登录 事件 .账户 
登录 事件 和 账户 管理 3 个 事件 。 审 核 策略 如 表 7-4 所 示 。 


表 7-4 审核 策略 
策 略 设 置 策 略 设 置 
审核 系统 登录 事件 成 功 /失败 审核 策略 更 改 成 功 /失败 
审核 账户 管理 成 功 /失败 审核 特权 使 用 成 功 /失败 
审核 登录 事件 成 功 /失败 审核 系统 事件 成 功 /失败 
审核 对 象 访问 成 功 /失败 


“用 户 权利 指派 ”。 在 “用 户 权利 指派 ”中 ,将 * 从 远 端 系统 强制 关机 ”权限 设置 为 禁 
止 任何 人 有 此 权限 ,防止 黑客 从 远程 关闭 系统 。 

“安全 选项 ”。 将 “对 匿名 连接 的 额外 限制 ”权限 改 为 “不 允许 枚 举 SAM 账号 和 共 
享 ”。 也 可 以 通过 修改 注册 表 中 的 值 来 禁止 建立 空 连接 ,将 Local _Machine \ 
SystemNCurrentControlSet\Control \LSA-RestrictAnonymous 的 值 改 为 1。 如 
在 LSA 目录 下 无 该 键 值 . 可 以 新 建 一 个 双 字 节 值 , 名 为 restrictanonymous, 值 为 
1 ,十 六 进 制 。 此 举 可 以 有 效 地 防止 利用 IPC$ 空 连接 枚 举 SAM 账号 和 共享 资 
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源 , 造 成 系统 信息 的 泄露 。 

(5) 加 强 对 Administrator 账号 和 Guest 账号 的 管理 监控 。 

将 Administrator 账号 重新 命名 ,创建 一 个 陷阱 账号 ,名 为 Administrator, 口 令 为 10 
位 以 上 的 复杂 口令 ,其 权限 设置 成 最 低 , 即 将 其 设 为 不 隶属 于 任何 一 个 组 ,并 通过 安全 审 
核 , 借 此 发 现 攻 击 者 的 入 侵 企图 。 设置 2 个 管理 员 用 账号 ,一 个 具有 一 般 权限 ,用 来 处 理 
一 些 日 常事 物 ; 另 一 个 具有 Administrators 权限 ,只 在 需要 的 时 候 使 用 。 修 改 增加 Guest 
用 户口 令 的 复杂 性 ,并 禁用 Guest 用 户 账号 。 

(6) 禁止 使 用 共享 。 

严格 限制 用 户 对 共享 目录 和 文件 的 访问 ,无 特殊 情况 ,严禁 通过 共享 功能 访问 服 
务 器 。 

(7) 清除 页 面 文 件 。 

将 注册 表 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Man- 
agement 中 ClearPageFileAtShutdown 的 值 改 为 1, 可 以 禁止 系统 产生 页 面 文件 ,防止 信息 
泄露 。 

(8) 清除 Dump 文件 。 

依次 选择 “控制 面板 "1" 系统 属性 ”1“ 高 级 1“ 启动 和 故障 恢复 ”, 将 “ 写 入 调试 信息 ” 
改 成 “无 ”, 可 以 清除 Dump 文件 ,防止 信息 泄露 。 

(9) Web 服务 安全 设置 。 

车 确 需 提供 Web 服务 和 FTP 服务 ,可 采取 以 下 措施 : 

。IIS-Web 网 站 服务 。 在 进行 系统 安装 时 不 要 安装 IIS 组 件 , 系 统 安装 完毕 后 ,再 手 

动 添加 该 服务 ,将 其 安装 目录 名 设 为 任意 字符 ,以 加 大 安全 性 。 删 除 Internet 服 
务 管理 器 ,删除 样本 页 面 和 脚本 , 印 载 Internet 打印 服务 ,删除 除 ASP 外 的 应 用 
程序 映射 。 针 对 不 同类 型 文件 建立 不 同文 件 夹 并 设置 不 同 权限 。 将 脚本 程序 设 
为 纯 脚 本 执行 许可 权限 ,二进制 执行 文件 设 为 脚本 和 可 执行 程序 权限 ,静态 文件 
设 为 读 权 限 。 对 安全 扫描 出 的 CGI 漏洞 文件 要 及 时 删除 。 
FTP 文件 传输 服务 。 不 要 使 用 系统 自 带 的 FTP 服务 ,该 服务 与 系统 账户 集成 认 
证 ,一 旦 密码 泄漏 后 果 十 分 严重 。 建 议 利用 第 三 方 软件 SERV-U 提供 FTP 服 
务 ,该 软件 用 户 管理 独立 进行 ,并 采用 单 向 Hash 函数 (MD5) 加 密 用 户口 令 , 加 密 
后 的 口令 保存 在 ServUDaemon. ini 或 是 注册 表 中 。 用 户 采用 多 权限 和 模拟 域 进 
行 权限 管理 。 虚 拟 路 径 和 物理 路 径 可 以 随时 变换 。 利 用 IP 规则 、 用 户 权限 、 用 户 
域 和 用 户口 令 等 多 重 保护 防止 非法 入 侵 。 
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在 这 一 小 节 中 ,从 用 户 安全 设置 .密码 安全 设置 .系统 安全 设置 和 服务 安全 设置 这 4 
个 方面 进行 介绍 。 
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1. 用 户 安全 设置 


1) 禁用 Guest 账号 

在 计算 机 管理 的 用 户 里 面 把 Guest 账号 禁用 。 为 了 保险 起 见 , 最 好 给 Guest 加 一 个 
复杂 性 的 密码 。 可 以 打开 记事 本 ,在 里 面 输入 一 串 包 含 特殊 字符 、 数 字 和 字母 的 长 字符 
串 , 然 后 把 它 作 为 Guest 用 户 的 密码 复制 进去 。 

2) 限制 不 必要 的 用 户 

去 掉 所 有 的 Duplicate User 用 户 .测试 用 户 和 共享 用 户 等 。 用 户 组 策略 设置 相应 权 
限 , 并 且 经 常 检查 系统 的 用 户 , 删 除 已 经 不 再 使 用 的 用 户 。 因 为 这 些 用 户 很 多 时 候 都 是 
黑客 们 入 侵 系 统 的 突破 口 。 

3) 创建 两 个 管理 员 账 号 

创建 一 个 一 般 权 限 用 户 用 来 收 信 以 及 处 理 一 些 日 常事 务 , 另 一 个 拥有 Administrators 
权限 的 用 户 只 在 特殊 需要 的 时 候 使 用 。 

4) 将 系统 Administrator 账号 改名 

因为 Windows 2000 Server 的 Administrator 用 户 是 不 能 被 停 用 的 ,攻击 者 可 不 断 地 
尝试 该 用 户 密码 进行 攻击 。 尽 量 把 它 伪装 成 普通 用 户 , 比 如 改 成 Guesycludx。 

5) 创建 一 个 陷阱 用 户 

创建 一 个 名 为 Administrator 的 本 地 用 户 , 把 它 的 权限 设置 成 最 低 , 并 且 加 上 一 个 超 
过 10 位 的 超级 复杂 密码 。 该 用 户 用 以 “诱骗 "黑客 来 访问 , 借 此 发 现 黑客 的 入 侵 企图 。 

6) 把 共享 文件 的 权限 从 Everyone 组 改 成 授权 用 户 

任何 时 候 都 不 要 把 共享 文件 的 用 户 设置 成 Everyone 组 ,包括 打印 共享 。 若 默认 的 
属性 就 是 Everyone 组 ,一定 不 要 忘记 修改 。 

7) 开启 用 户 策略 

使 用 用 户 策略 ,分 别 设置 复位 用 户 锁定 计数 器 时 间 为 20min, 用 户 锁定 时 间 为 20min, 用 
户 锁定 冰 值 为 3 次 。 

8) 禁止 系统 显示 上 次 登录 的 用 户 名 

默认 情况 下 ,登录 对 话 框 中 会 显示 上 次 登录 的 用 户 名 ,这 会 使 他 人 很 容易 获得 系统 
的 一 些 用 户 名 。 可 以 通过 修改 注册 表 的 方法 不 让 对 话 框 里 显示 上 次 登录 的 用 户 名 。 具 
体 方法 为 ,打开 注册 表 编 辑 器 并 找到 注册 表 项 “HKLM\Software\Microsoft\ Windows\ 
CurrentVersion\ Winlogon\Dont-DisplayLastUserName”, 把 REG_S2 的 键 值 改 成 1 。 


2. 密码 安全 设置 


1) 使 用 安全 密码 

一 些 公司 的 管理 员 创建 账号 的 时 候 往往 喜欢 用 公司 名 、 计 算 机 名 做 用 户 名 ,然后 又 
把 这 些 用 户 的 密码 设置 得 太 简单 ,比如 welcome 等 。 因 此 ,要 注意 密码 的 复杂 性 ,还 要 记 
住 经 常 更 换 密码 。 

2) 设置 屏幕 保护 密码 

这 是 一 个 很 简单 也 很 有 必要 的 操作 。 设 置 屏幕 保护 密码 也 是 防止 内 部 人 员 破 坏 服 
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务 器 的 一 个 屏障 。 

3) 开启 密码 策略 

注意 应 用 密码 策略 ,如 启用 密码 复杂 性 要 求 ,设置 密码 长 度 最 小 值 为 6 位 ,设置 强制 
密码 历史 为 5 次 ,时 间 为 42 天 (6 周 ) 。 

4) 使 用 智能 卡 来 代替 密码 

对 于 密码 ,总 是 使 安全 管理 员 进 退 两 难 ,密码 设置 得 过 于 简单 容易 受到 黑客 的 攻击 ， 
密码 设置 太 复杂 又 容易 忘记 。 如 果 条 件 允 许 , 用 智能 卡 来 代替 复杂 的 密码 是 一 个 很 好 的 
解决 方案 。 

3. 系统 安全 设置 


1) 使 用 NTFS 格式 分 区 

最 好 把 服务 器 的 所 有 分 区 都 改 成 NTFS 格式 ,NTFS 文件 系统 要 比 FAT、FAT32 的 
文件 系统 安全 得 多 。 

2) 运行 防毒 软件 

杀毒 软件 不 仅 能 杀 掉 一 些 著名 的 病毒 ,还 能 查 杀 大 量 木 马 和 后 门 程序 ,因此 要 注意 
经 常 运行 杀毒 程序 并 升级 病毒 库 。 

3) 下 载 最 新 的 补丁 程序 

很 多 网 络 管理 员 没 有 访问 安全 站 点 的 习惯 ,以 至 于 一 些 漏洞 都 出 现 很 久 了 ,还 留 放 
着 服务 器 的 漏洞 给 非法 用 户 攻击 。 一 定 要 经 常 访问 微软 和 一 些 安全 站 点 ,下 载 最 新 的 
Service Pack 和 漏洞 补丁 ,是 保障 服务 器 长 久 安全 的 最 佳 方法 。 

4) 锁 住 注册 表 

在 Windows 2000 Server 中 ,只 有 Administrators 和 Backup Operators 才 有 从 网 络 
上 访问 注册 表 的 权限 ,还 可 进一步 设 定 注册 表 访 问 权限 。 

5) 禁止 用 户 从 软盘 和 光驱 启动 系统 

一 些 工 具 能 通过 引导 系统 来 绕 过 原 有 的 安全 机 制 。 如 果 用 户 的 服务 器 对 安全 要 求 
非常 高 ,可 以 考虑 使 用 可 移动 软盘 和 光驱 。 

6) 利用 Windows 2000 Server 的 安全 配置 工具 来 配置 安全 策略 

微软 提供 了 一 套 基于 MMC( 管 理 控制 台 ) 安 全 配置 和 分 析 工 具 , 利 用 它们 可 以 很 方便 地 


配置 用 户 的 服务 器 以 满足 用 户 的 要 求 。 具 体内 容 请 参考 微软 主页 http: //www. microsoft. 


com/ windows2000/ techinfo/ howitworks/ security/ sctoolset. asp。 
4. 服务 安全 设置 


1) 关闭 不 必要 的 端口 

关闭 端口 意味 着 减少 服务 功能 ,在 安全 和 服务 方面 需要 作出 折 中 决策 。 如 果 服 务 器 
安装 在 防火 墙 的 后 面 ,风险 就 会 少 得 多 ,但 并 不 意味 着 可 以 高 枕 无 优 了 。 用 端口 扫描 器 
扫描 系统 所 开放 的 端口 ,确定 开放 了 哪些 服务 是 黑客 人 侵 用 户 系统 最 常用 的 方法 。 在 系 
统 目 录 中 的 \system32\drivers\etc\services 文件 中 有 知名 端口 和 服务 的 对 照 表 可 供 参 
考 。 具 体 方法 为 ,依次 选择 “网 上 邻居 ”1“ 本 地 连接 ”|“ 属 性 ”|“Internet 协议 ”|*TCP/IP” 
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|* 属 性 "|* 高 级 "|* 选 项 *|*TCP/IP 筛选 "| “属性”, 打 开 “TCP/IP 筛选 ”, 添 加 需要 的 
TCP、UDP 协议 即 可 。 

2) 设置 好 安全 记录 的 访问 权限 

安全 记录 在 默认 情况 下 是 不 受到 保护 的 ,应 把 它 设 置 成 只 有 Administrators 和 系统 
账户 才 有 权 访 问 。 

3) 把 敏感 文件 存放 在 另外 的 文件 服务 器 中 

虽然 现在 服务 器 的 硬盘 容量 都 很 大 ,但 还 是 应 该 考虑 把 一 些 重要 的 用 户 数据 (文件 、 
数据 表 和 项 目 文件 等 ) 存 放 在 另外 一 个 安全 的 服务 器 中 ,并 且 经 常备 份 它们 。 
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1. 账户 保护 安全 策略 


用 户 账户 的 保护 主要 围绕 着 密码 的 保护 来 进行 。 为 了 避免 用 户 身份 由 于 密码 的 破 
解 而 被 夺取 或 盗用 ,通常 可 采取 诸如 提高 密码 的 破解 难度 .启用 账户 锁定 策略 、 限 制 用 户 
登录 ,限制 外 部 连接 以 及 防范 网 络 嗅 探 等 措施 。 

1) 提高 密码 的 破解 难度 

提高 密码 的 破解 难度 主要 是 通过 采用 提高 密码 复杂 性 、 增 加 密码 长 度 及 提高 更 换 密 
码 的 频率 等 措施 来 实现 ,但 这 常常 是 用 户 很 难 做 到 的 ,对 于 企业 网 络 中 的 一 些 安全 敏感 
用 户 就 必须 采取 一 些 相关 的 措施 ,以 强制 改变 不 安全 密码 的 使 用 习惯 。 

在 Windows 系统 中 可 以 通过 一 系列 的 安全 设置 ,并 同时 制定 相应 的 安全 策略 来 实 
现 。 在 Windows Server 2003 系统 中 ,可 以 通过 在 安全 策略 中 设 定 “ 密 码 策略 "来 设置 。 
Window Server 2003 系统 的 安全 策略 可 以 根据 网 络 的 情况 ,针对 不 同 的 场合 和 范围 有 针 
对 性 地 设置 。 例 如 可 以 针对 本 地 计算 机 、 域 及 相应 的 组 织 单元 来 设置 ,这 完全 取决 于 该 
策略 要 影响 的 范围 。 

以 域 安全 策略 为 例 , 其 作用 范围 是 企业 网 中 所 指定 域 的 所 有 成 员 。 在 域 管理 工具 中 
运行 “ 域 安全 策略 ?工具 ,然后 就 可 以 针对 密码 策略 进行 相应 的 设置 。 

密码 策略 也 可 以 在 指定 的 计算 机 上 用 “本 地 安全 策略 "来 设 定 , 同 时 也 可 在 网 络 中 特 
定 的 组 织 单元 通过 组 策略 进行 设置 。 

2) 启用 账户 锁定 策略 

账户 锁定 是 指 在 某 些 情况 下 (例如 账户 受到 采用 密码 词典 或 暴力 猜测 方式 的 在 线 自 
动 登录 攻击 ) ,为 保护 该 账户 的 安全 而 将 此 账户 锁定 。 使 其 在 一 定 的 时 间 内 不 能 再 次 使 
用 ,从 而 挫败 连续 的 猜测 尝试 。 

Windows 2003 系统 在 默认 情况 下 ,为 方便 用 户 起 见 ,这 种 锁定 策略 并 没有 进行 设 
定 ,此 时 ,对 黑客 的 攻击 没有 任何 限制 。 只 要 有 耐心 ,通过 自动 登录 工具 和 密码 猜测 字典 
进行 攻击 ,甚至 可 以 进行 暴力 模式 的 攻击 ,那么 破解 密码 只 是 一 个 时 间 和 运气 的 问题 。 
账户 锁定 策略 设 定 的 第 一 步 就 是 指定 账户 锁定 的 阔 值 , 即 锁定 该 账户 无 效 登 录 的 次 数 。 
一 般 来 说 ,由 于 操作 失误 造成 的 登录 失败 的 次 数 是 有 限 的 。 在 这 里 设置 锁定 阔 值 为 3 
次 ,这 样 只 允许 3 次 登录 尝试 。 如 果 3 次 登录 全 部 失败 ,就 会 锁定 该 账户 。 
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但 是 ,一 旦 该 账户 被 锁定 后 ,即使 是 合法 用 户 也 就 无 法 使 用 了 。 只 有 管理 员 才 可 以 
重新 开启 该 账户 ,这 就 造成 了 许多 不 便 。 为 方便 用 户 , 可 以 同时 设 定 锁定 的 时 间 和 复位 
计数 器 的 时 间 。 上 账户 的 锁定 ,可 以 有 效 地 避免 自动 猜测 工具 的 攻击 ,同时 对 于 手动 尝试 
者 的 耐心 和 信心 也 可 造成 很 大 的 打击 。 锁 定 用 户 账 户 常常 会 造成 一 些 不 便 , 但 系统 的 安 
全 有 时 更 为 重要 。 

3) 限制 用 户 登 录 

对 于 企业 网 的 用 户 还 可 以 通过 对 其 登录 行为 进行 限制 ,来 保障 用 户 账户 的 安全 。 这 
样 限制 以 后 ,即使 是 密码 出 现 泄漏 ,系统 也 可 以 在 一 定 程度 上 将 黑客 阻挡 在 “ 门 外 ”, 对 于 
Windows Server 2003 网 络 来 说 ,运行 “Active Directory 用 户 和 计算 机 ”管理 工具 。 然后 
选择 相应 的 用 户 ,并 设置 其 账户 属性 。 

在 账户 属性 对 话 框 中 ,可 以 限制 其 登录 的 时 间 和 地 点 。 单 击 其 中 的 “登录 时 间 ” 按 
钮 ,在 这 里 可 以 设置 允许 该 用 户 登录 的 时 间 , 这 样 就 可 防止 非 工 作 时 间 的 登录 行为 。 单 
击 其 中 的 “登录 到 ”按钮 ,在 这 里 可 以 设置 允许 该 账户 从 哪些 计算 机 登录 。 另 外 ,还 可 以 
通过 “账户 ”选项 来 限制 登录 时 的 行为 。 例 如 使 用 “用 户 必 须 用 智能 卡 登 录 ”, 就 可 避免 直 
接 使 用 密码 验证 。 除 此 之 外 ,还 可 以 引入 指纹 验证 等 更 为 严格 的 手段 。 

4) 限制 外 部 连接 

对 于 企业 网 络 来 说 ,通常 需要 为 一 些 远程 拨号 的 用 户 ( 业 务 人 员 或 客户 等 ) 提 供 拨号 
接 人 服务 。 远 程 拨号 访问 技术 实际 上 是 通过 低速 的 拨号 连接 来 将 远程 计算 机 接 人 到 企 
业内 部 的 局 域 网 中 。 巾 于 这 个 连接 无 法 隐藏 ,因此 常常 成 为 黑客 人 侵 内 部 网 络 的 最 佳人 
口 。 但 是 ,采取 一 定 的 措施 可 以 有 效 地 降低 风险 。 

对 于 基于 Windows Server 2003 的 远程 访问 服务 器 来 说 ,默认 情况 下 将 允许 具有 拨 
入 权限 的 所 有 用 户 建立 连接 。 因 此 ,安全 防范 的 第 一 步 就 是 合理 地 ,严格 地 设置 用 户 账 
户 的 拨 入 权限 ,严格 限制 氢 入 权限 的 分 配 范围 。 对 于 网 络 中 的 一 些 特殊 用 户 和 固定 的 分 
支 机 构 的 用 户 来 说 ,可 通过 回 拨 技 术 来 提高 网 络 安全 性 。 这 里 所 谓 的 回 拨 , 是 指 在 主 叫 
方 通过 验证 后 立即 挂 断 线路 ,然后 由 被 叫 方 回 拨 到 主 叫 方 的 电话 上 。 这 样 ,即使 账户 及 
其 密码 被 破解 ,也 不 必 有 任何 担心 。 

在 Windows Server 2003 网 络 中 ,如 果 活 动 目录 工作 在 Native-mode( 本 机 模式 ) 下 ， 
这 时 就 可 以 通过 存储 在 访问 服务 器 上 或 Internet 验证 服务 器 上 的 远程 访问 策略 来 管理 。 
针对 各 种 应 用 场景 的 不 同 ,可 以 设置 多 种 不 同 的 策略 。 

5) 限制 特权 组 成 员 

在 Windows Server 2003 网 络 中 ,还 有 一 种 非常 有 效 的 防范 黑客 人 侵 和 管理 朴 忽 的 
辅助 手段 ,就 是 利用 * 受 限制 的 组 ”安全 策略 。 该 策略 可 保证 组 成 员 的 组 成 固定 。 在 域 安 
全 策略 的 管理 工具 中 添加 要 限制 的 组 ,在 “组 ”对 话 框 中 输入 或 查找 要 添加 的 组 。 一 般 要 
对 管理 员 组 等 特权 组 的 成 员 加 以 限制 。 下 一 步 就 是 要 配置 这 个 受 限 制 的 组 的 成 员 。 在 
这 里 选择 受 限 制 的 组 的 “安全 性 ”选项 。 然 后 .就 可 以 管理 这 个 组 的 成 员 组 成 ,可 以 添加 
或 删除 成 员 , 当 安全 策略 生效 后 ,可 防止 黑客 将 后 门 账户 添加 到 该 组 中 。 

6) 防范 网 络 嗅 探 

由 于 局 域 网 采用 广播 的 方式 进行 通信 ,因而 信息 很 容易 被 窃听 。 网 络 嗅 探 就 是 通过 
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侦 听 所 在 网 络 中 所 传输 的 数据 来 嗅 探 有 价值 的 信息 。 对 于 普通 的 网 络 嗅 探 的 防御 并 不 
困难 ,可 通过 以 下 手段 来 进行 : 

(1) 采用 交换 网 络 。 

一 般 情 况 下 ,交换 网 络 对 于 普通 的 网 络 嗅 探 手段 具有 先天 的 免疫 能 力 。 这 是 由 于 在 
交换 网 络 环境 下 ,每 一 个 交换 端口 就 是 一 个 独立 的 广播 域 ,同时 端口 之 间 通过 交换 机 进 
行 桥接 ,而 非 广播 。 网 络 嗅 探 主 要 针对 的 是 广播 环境 下 的 通信 ,因而 在 交换 网 络 中 就 失 
去 了 作用 。 

随 着 交换 网 络 技术 的 普及 ,网 络 嗅 探 所 带 来 的 威胁 也 越 来 越 低 , 但 仍 不 可 忽视 。 通 
过 ARP 地 址 欺骗 仍然 可 以 实现 一 定 范围 的 网 络 嗅 探 。 

(2) 加 密会 话 。 

在 通信 双方 之 间 建 立 加 密 的 会 话 连接 也 是 非常 有 效 的 方法 ,特别 是 在 企业 网 络 中 。 
这 样 ,即使 黑客 成 功 地 进行 了 网 络 嗅 探 ,但 由 于 捕获 的 都 是 密 文 , 因 而 毫 无 价值 。 网 络 中 
进行 会 话 加 密 的 手段 有 很 多 ,可 以 通过 定制 专门 的 通信 加 密 程 序 来 进行 ,但 是 通用 性 较 
差 。 因 此 ,完善 IP 通信 的 安全 机 制 才 是 最 根本 的 解决 办 法 。 

由 于 历史 原因 ,基于 IP 的 网 络 通信 技术 没有 内 建 的 安全 机 制 。 随 着 互联 网 的 发 展 ， 
安全 问题 逐渐 暴露 出 来 。 现 在 经 过 各 个 方面 的 努力 ,标准 的 安全 架构 也 已 经 基本 形成 。 
那 就 是 IPSec 机 制 ,并 且 它 将 作为 下 一 代 IP 网 络 标准 IPv6 的 重要 组 成 。IPSec 机 制 在 新 
一 代 的 操作 系统 中 已 经 得 到 了 很 好 的 支持 。 在 Windows Server 2003 系统 中 ,其 服务 器 
产品 和 客户 端 产品 都 提供 了 对 IPSec 的 支持 。 从 而 增强 了 安全 性 .可 伸缩 性 以 及 可 用 性 ， 
同时 使 部 署 和 管理 更 加 方便 。 

在 Windows Server 2003 系统 的 安全 策略 相关 的 管理 工具 集 (例如 本 地 安全 策略 、 域 
安全 策略 和 组 策略 等 ) 中 ,都 集成 了 相关 的 管理 工具 。 为 清楚 起 见 , 可 通过 Microsoft 管 
理 控制 台 MMC 定制 的 管理 工具 了 解 。 

具体 方法 如 下 ,首先 在 “开始” 菜单 中 单 击 “ 运 行 " 选 项 ,然后 输入 mmc, 单 击 “ 确 定 ” 按 
钮 。 在 “控制 台 " 菜 单 中 选择 “添加 删除 管理 单元 "命令 ,然后 , 单 击 “ 添 加 ”按钮 。 在 可 用 
的 独立 管理 单元 中 ,选择 “IP 安全 策略 管理 ”选项 ,双击 或 单 击 “ 添 加 ”按钮 ,在 这 里 选择 被 
该 管理 单元 所 管理 的 计算 机 ,然后 单 击 “ 完 成 按钮。 关闭 添加 管理 单元 的 相关 窗口 ,就 
得 到 了 一 个 新 的 管理 工具 ,在 这 里 可 以 为 其 命名 并 保存 。 

此 时 可 以 看 到 已 有 的 安全 策略 ,用 户 可 以 根据 情况 来 添加 、 修 改 和 删除 相应 的 IP 安 
全 策略 。 其 中 Windows Server 2003 系统 自 带 的 有 以 下 几 个 策略 : 

。 安全 服务 器 (要 求 安全 设置 ); 

。 客户 端 (只 响应 ); 

。 服务 器 (请 求 安全 设置 ) 。 

其 中 的 “客户 端 ?策略 是 根据 对 方 的 要 求 来 决定 是 否 采用 IPSec;“ 服 务 器 "策略 要 求 
支持 IP 安全 机 制 的 客户 端 使 用 IPSec, 但 允许 不 支持 IP 安全 机 制 的 客户 端 来 建立 不 安 
全 的 连接 ;而 “安全 服务 器 "策略 则 最 为 严格 , 它 要 求 双方 必须 使 用 IPSec 协议 。 

不 过 ,“ 安 全 服务 器 ”策略 默认 允许 不 加 密 的 受信 任 的 通信 ,因此 仍然 能 够 被 窃听 。 
直接 修改 此 策略 或 定制 专门 的 策略 ,就 可 以 实现 有 效 的 防范 。 选 择 其 中 的 “所 有 IP 通 
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信 ? 选 项 ,在 这 里 可 以 编辑 其 规则 属性 。 
选择 “筛选 器 操作 ”选项 卡 ,选择 其 中 的 “要 求 安全 设置 选项 。 


2. 系统 监控 安全 策略 


尽管 不 断 地 在 对 系统 进行 修补 ,但 由 于 软件 系统 的 复杂 性 ,安全 漏洞 问题 仍然 存在 。 
因此 ,除了 对 安全 漏洞 进行 修补 之 外 ,还 要 对 系统 的 运行 状态 进行 实时 监视 ,以 便 及 时 发 
现 利 用 各 种 漏洞 的 入侵 行为 。 如 果 已 有 安全 漏洞 但 还 没有 全 部 得 到 修补 ,这 种 监视 就 显 
得 尤其 重要 。 

1) 启用 系统 审核 机 制 

系统 审核 机 制 可 以 对 系统 中 的 各 类 事件 进行 跟踪 记录 并 写 入 日 志文 件 ,以 供 管理 员 
进行 分 析 ,查找 系统 和 应 用 程序 故障 以 及 各 类 安全 事件 。 

所 有 的 操作 系统 ,应 用 系统 等 都 带 有 日 志 功 能 ,因此 可 以 根据 需要 实时 地 将 发 生 在 
系统 中 的 事件 记录 下 来 。 同 时 还 可 以 通过 查看 与 安全 相关 的 日 志文 件 的 内 容 , 发 现 黑客 
的 和 人 侵 行为 。 当 然 , 若 要 达到 这 个 目的 ,就 必须 具备 一 些 相关 的 知识 。 首 先 必 须要 学 会 
如 何 配置 系统 ,以 启用 相应 的 审核 机 制 ,并 同时 使 之 能 够 记录 各 种 安全 事件 。 

对 Windows Server 2003 的 服务 器 和 工作 站 来 说 ,为 了 不 影响 系统 性 能 ,默认 的 安全 
策略 并 不 对 安全 事件 进行 审核 。 从 “安全 配置 和 分 析 ” 工 具 用 SecEdit 安全 模板 进行 的 分 
析 结 果 可 知 ,有 红色 标记 的 审核 策略 应 该 已 经 启用 ,这 可 用 来 发 现 来 自 外 部 和 内 部 的 黑 
客人 侵 行为 。 对 于 关键 的 应 用 服务 器 和 文件 服务 器 来 说 ,应 同时 启用 剩 下 的 安全 策略 。 

如 果 已 经 启用 了 “审核 对 象 访问 "策略 ,那么 就 要 求 必须 使 用 NTFS 文件 系统 。 
NTFS 文件 系统 不 仅 提供 对 用 户 的 访问 控制 .而且 还 可 以 对 用 户 的 访问 操作 进行 审核 。 
但 这 种 审核 功能 ,需要 针对 具体 的 对 象 来 进行 相应 的 配置 。 

首先 在 被 审核 对 象 “安全 "属性 的 “高 级 "属性 中 添加 要 审核 的 用 户 和 组 。 在 该 对 话 
框 中 选择 好 要 审核 的 用 户 后 ,就 可 以 设置 对 其 进行 审核 的 事件 和 结果 。 在 所 有 的 审核 策 
略 生效 后 ,就 可 以 通过 检查 系统 的 日 志 来 发 现 黑客 的 蛛丝马迹 。 

2) 日 志 监 视 

在 系统 中 启用 安全 审核 策略 后 ,管理 员 应 经 常 查看 安全 日 志 的 记录 ,否则 就 失去 了 
及 时 补救 和 防御 的 时 机 。 除 了 安全 日 志 外 ,管理 员 还 要 注意 检查 各 种 服务 或 应 用 的 日 志 
文件 。 在 Windows 2003 IIS 6.0 中 ,其 日 志 功 能 默认 已 经 启动 ,并 且 日 志文 件 存放 的 路 
径 默认 在 System32/LogFiles 目录 下 ,打开 IIS 日 志文 件 ,可 以 看 到 对 Web 服务 器 的 
HTTP 请 求 ,IIS 6.0 系统 自 带 的 日 志 功能 从 某 种 程度 上 可 以 成 为 入 侵 检测 的 得 力 助手 。 

3) 监视 开放 的 端口 和 连接 

对 日 志 的 监视 只 能 发 现 已 经 发 生 的 人 侵 事 件 , 但 是 它 对 正在 进行 的 人 侵 和 破坏 行为 
是 无 能 为 力 的 。 这 时 ,就 需要 管理 员 掌 握 一 些 基本 的 实时 监视 技术 。 

通常 在 系统 被 黑客 或 病毒 人 侵 后 ,就 会 在 系统 中 留 下 木马 类 后 门 。 同 时 它 和 外 界 的 
通信 会 建立 一 个 Socket 会 话 连接 ,可 用 netstat 命令 进行 会 话 状态 的 检查 ,可 以 查看 已 经 
打开 的 端口 和 已 经 建立 的 连接 。 当 然 也 可 以 采用 一 些 专用 的 检测 程序 对 端口 和 连接 进 
行 检测 。 
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4) 监视 共享 

通过 共享 来 人 侵 一 个 系统 不 失 为 一 种 方便 的 手段 ,最 简单 的 方法 就 是 利用 系统 隐 含 
的 管理 共享 。 因 此 ,只 要 是 黑客 能 够 扫描 到 的 IP 和 用 户 密码 ,就 可 以 使 用 net use 命令 
连接 到 共享 上 。 另 外 , 当 浏 览 到 含有 恶意 脚本 的 网 页 时 ,计算 机 的 硬盘 也 可 能 被 共享 , 因 
此 ,监测 本 机 的 共享 连接 是 非常 重要 的 。 

监测 本 机 的 共享 连接 具体 方法 如 下 ,在 Windows Server 2003 的 计算 机 中 ,打开 * 计 
算 机 管理 ”工具 ,并 展开 “共享 文件 夹 ” 选 项 。 单 击 其 中 的 “共享 "选项 ,就 可 以 查看 其 右面 
窗口 ,以 检查 是 否 有 新 的 可 疑 共 享 ,如 果 有 可 疑 共 享 ,就 应 该 立即 删除 。 另 外 ,还 可 以 通 
过 选择 “会 话 ” 选 项 ,来 查看 连接 到 机 器 所 有 共享 的 会 话 。Windows NT/2000 的 IPC$ 共 
享 漏洞 是 目前 危害 最 大 的 漏洞 之 一 。 黑 客 即 使 没有 马上 破解 其 密码 ,也 仍然 可 以 通过 
“ 空 连接 ”来 连接 到 系统 上 ,再 进行 其 他 的 尝试 。 

5) 监视 进程 和 系统 信息 

对 于 木马 和 远程 监控 程序 ,除了 监视 开放 的 端口 外 ,还 应 通过 任务 管理 器 的 进程 查 
看 功能 进行 进程 的 查找 。 在 安装 Windows Server 2003 的 支持 工具 (从 产品 光盘 安装 ) 
后 ,就 可 以 获得 一 个 进程 查看 工具 Process Viewer: 通 常 ,隐藏 的 进程 寄宿 在 其 他 进程 下 ， 
因此 查看 进程 的 内 存 映 象 也 许 能 发 现 异常 。 但 是 ,现在 的 木马 越 来 越 难 发 现 , 它 常常 会 
把 自己 注册 成 一 个 服务 ,从 而 避免 了 在 进程 列表 中 现形 。 因 此 ,还 应 结合 对 系统 中 的 其 
他 信息 的 监视 ,这 样 就 可 对 系统 信息 中 的 软件 环境 下 的 各 项 进行 相应 的 检查 。 


714 Windows Server 2003 防火 墙 


“冲击 波 ” 等 蠕虫 病毒 特征 之 一 就 是 利用 有 漏洞 的 操作 系统 进行 端口 攻击 ,因此 防范 
此 类 病毒 的 简单 方法 就 是 屏蔽 不 必要 的 端口 .防火 墙 软件 都 具有 这 种 功能 ,其 实 对 于 采 
用 Windows 2003 或 者 Windows XP 的 用 户 来 说 ,不 需要 安装 任何 其 他 软件 ,因为 可 以 利 
用 系统 自 带 的 “Internet 连接 防火 墙 ?来 防范 黑客 的 攻击 。 

1. 基本 设置 
右 击 “网 上 邻居 ”, 选 择 * 属 性 ”命令 。 
然后 右 击 “ 本 地 连接 ”, 选 择 “ 属 性 "命令 ,出 现 
如 图 7-1 所 示 的 界面 。 选 择 “ 高 级 "选项, 选 
中 “Internet 连接 防火 墙 ”, 确 定 后 防火 墙 即 
起 作用 。 


. 测试 基本 设置 


在 另外 一 台 机 器 上 ping 本 机 ,出 现 Request 
timed out 表示 ping 不 通 本 机 。 


中 局 


已 


。 在 另外 一 台 机 器 上 用 漏洞 扫描 工具 扫描 本 机 El 
发 现 没有 打开 的 端口 。 | 


这 两 种 测试 通过 后 也 说 明 防 火 墙 已 经 起 作用 。 图 7-1 本 地 连接 属性 
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3. 高 级 设置 


单 击 图 7-1 中 “设置 …” 按 钮 ,出 现 如 图 7-2 所 示 的 界面 后 , 则 可 进行 高 级 设置 。 
1) 选择 要 开通 的 服务 
如 图 7-3 所 示 ,如果 本 机 要 开通 相应 的 服务 ,可 选中 该 服务 ,本 例 选中 了 FTP 服务 ， 


这 样 从 其 他 机 器 就 可 FTP 到 本 机 ,扫描 本 机 可 以 发 现 21 端口 是 开放 的 。 可 以 单 击 “ 添 
加 ”按钮 增加 相应 的 服务 端口 。 


EE 
映 务 | 安全 昌 志 | zs | 服务 | 有 9 老 | To | 


| 口 邮 届 的 治本 3 drors) 
口 ;5 面 


Ez 天 EL [a 
| 
图 7-3 服务 开通 设置 


图 7-2 高 级 设置 主 窗口 
2) 设置 日 志 


如 图 7-4 所 示 , 选 择 要 记录 的 项 目 ,防火 墙 将 记录 相应 的 数据 ,日 志 默认 在 c:\ 
windows\pfirewall. log, 其 内 容 用 * 记 事 本 ”就 可 以 打开 查看 。 
3) 设置 ICMP 协议 


如 图 7-5 所 示 ,最 常用 的 ping 就 是 用 的 ICMP 协议 ,默认 设置 完 后 ping 不 通 本 机 就 
是 因 


为 屏 项 了 ICMP 协议 ,如 果 想 ping 通 本 机 只 需 选 中 * 人 允许 传人 响应 请 求 " 项 即 可 ( 即 
在 该 选项 前 打 一 个 ”) 。 


CTS x 
最 每 过 于 玫 |zom | 
全 -| 
末 记 有 策 二 站 的 于 把 乌 QD) 
三 记 WD 
人 
Ey 
[BL 
Lb 
六 4 晶 提 加 :5z 习 名 
二 要 办 信 中 ) 
Ce jw | 


7-4 日 志 设 置 
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72 UNX 安 全 


UNIX/Linux 是 适用 于 多 种 硬件 平台 的 多 用 户 、 多 任务 操作 系统 ,其 安全 性 是 很 高 
的 。 系 统 提供 了 3 层 的 防御 体系 ,账号 安全 、 权 限 设置 和 文件 系统 安全 。 下 面 分 别 对 这 3 
个 方面 进行 阐述 。 

由 于 Linux 是 一 种 与 UNIX 安全 兼容 的 操作 系统 ,所 以 下 面 所 讨论 的 UNIX 系统 的 
安全 性 问题 ,基本 上 也 适用 于 Linux 系统 。 


721 UNX 安 全 概述 


1. 用 户 账 号 和 口令 


1) 默认 账号 。 所 有 的 UNIX 系统 安装 完毕 后 都 有 默认 账号 ,有 时 这 些 账号 有 默认 的 
口令 或 者 根本 没有 口令 ,这样 ,它们 就 成 为 攻击 者 最 好 的 突破 口 。 所 以 ,安装 完 后 ,系统 
管理 员 一 定 要 及 时 修改 系统 账号 及 其 登录 口令 。 

2) 共享 账号 。UNIX 系统 的 每 个 用 户 都 应 该 有 自己 的 专用 账号 。 如 果 允 许 用 户 使 
用 共享 , 即 多 个 用 户 使 用 相同 的 账号 ,该 账号 的 安全 性 就 被 破坏 了 。 

3) 口令 安全 。 用 户 的 口令 是 对 系统 安全 的 最 大 安全 威胁 。 如 果 入 侵 者 获得 一 个 用 
户 的 口令 , 那 他 就 可 以 轻易 地 登录 到 系统 上 ,并 且 拥 有 这 个 用 户 的 所 有 权限 。 任 何 登 录 
UNIX 系统 的 人 ,都 必须 输入 口令 ,而 口令 文件 只 有 超级 用 户 可 以 读 写 。 攻 击 者 的 目的 
主要 是 通过 破解 口令 文件 ,寻找 出 口令 ,从 而 可 以 冒充 合法 用 户 访 问 主机 ,因此 一 旦 用 户 
发 现 系统 的 口令 文件 被 非法 访问 过 ,一 定 要 及 时 更 换 所 有 的 用 户口 令 。 

安全 口令 应 有 以 下 几 个 特点 。 

。 位 数 大 于 6 位 ,最 好 是 8 位 以 上 。 

。 大 小 写字 母 混 合 。 如 果 有 一 个 大 写字 母 ,不 要 放 在 开头 。 

。 如 果 记 忆 较 好 ,可 以 把 数字 无 序 地 加 在 字母 中 。 

。 当 口 令 中 有 “-! @# $ %& x 一 二 ”等 特殊 符号 时 ,不 要 放 在 结尾 。 

不 安全 的 口令 则 有 以 下 几 种 情况 。 

。 使 用 用 户 名 (账号 ) 作 为 口令 或 使 用 用 户 名 (账号 ) 为 变换 形式 作为 口令 。 

。 使 用 自己 或 者 亲友 的 生日 作为 口令 。 

。 使 用 常用 的 英文 单词 作为 口令 。 

。 使 用 5 位 或 5 位 以 下 的 字符 作为 口令 。 

实际 上 UNIX 的 口令 设计 是 十 分 完善 的 ,一 般 用 户 不 可 能 把 自己 的 密码 改 成 用 户 
名 .小 于 4 位 或 简单 的 英文 单词 。 这 是 UNIX 系统 默认 的 安全 模式 ,是 除了 系统 管理 员 
(超级 用 户 ) 以 外 不 可 改变 的 。 因 此 ,安装 UNIX 后 只 要 更 改 初始 的 root 口令 。 

尽管 如 此 ,黑客 还 是 能 通过 其 他 途径 获得 口令 ,主要 有 两 种 途径 。 

。 利用 技术 漏洞 。 如 缓冲 区 溢出 ,send mail 漏洞 .finger、AIX 的 rlogin 等 。 

。 利用 管理 漏洞 。 如 root 身份 运行 http、 建 立 shadow 的 备份 但 是 忘记 更 改 其 属 

性 .用 电子 邮件 寄 送 密码 等 。 
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2. 用 户 和 用 户 组 


虽然 每 个 UNIX 用 户 都 有 一 个 长 达 8 个 字符 以 上 的 用 户 名 ,但 在 UNIX/Linux 内 部 
只 用 一 个 数字 来 标识 每 个 用 户 , 用 户 的 标识 符 CUID) 。 通 常 ,系统 为 每 一 个 用 户 分 配 一 个 
不 同 的 UID。 

UID 被 规定 为 一 个 无 符号 的 16 位 整数 ,这 意味 着 其 取 值 范围 是 0 一 65 535 。 

UID 是 操作 系统 用 于 识别 用 户 的 实际 信息 ,系统 提供 用 户 名 仅仅 是 出 于 方便 用 户 考 
虑 。 如 果 两 个 用 户 被 分 配给 相同 的 UID, 系 统 将 他 们 视 为 同一 个 用 户 , 即 使 他 们 有 不 同 
的 用 户 名 和 口令 也 是 如 此 。 特 别 要 注意 的 是 ,两 个 具有 相同 UID 的 用 户 可 以 自由 地 读 取 
和 删除 对 方 的 文件 。 

出 于 管理 的 方便 ,UNIX/Linux 系统 还 划分 了 用 户 组 ,每 个 用 户 都 位 于 一 个 或 者 多 
个 用 户 组 中 。 与 用 户 标识 一 样 ,每 一 个 用 户 组 在 系统 内 部 也 用 了 一 个 整数 标识 , 称 为 用 
户 组 标识 (GID)。 

每 一 个 UNIX/Linux 系统 都 有 一 个 UID 为 0 的 特殊 用 户 , 它 被 称 作 超级 用 户 并 且 被 
赋予 用 户 名 root, 其 口令 通常 称 为 “root 口令 ”。 

UNIX 系统 管理 员 经 常 需要 用 超级 用 户 去 执行 各 种 系统 管理 任务 。 这 可 以 通过 Su 
命令 建立 一 个 特权 Shell 来 实现 。 执 行 超级 用 户 的 操作 必须 格外 小 心 。 当 超级 用 户 的 操 
作 执 行 完毕 ,系统 管理 员 应 该 从 这 个 特权 shell 中 退出 。 

在 前 面 提 到 ,用 户 名 在 系统 内 部 是 以 用 户 标 识 来 表示 的 。 两 个 UID 相同 的 用 户 名 在 
系统 看 来 是 同一 个 用 户 , 因 此 ,任何 UID 为 0 的 用 户 都 是 超级 用 户 。 用 户 名 root 仅仅 是 
一 个 通常 的 约定 。 

很 多 UNIX/Linux 系统 可 以 配置 为 禁止 远程 终端 登录 。 任 何 想 具有 超级 用 户 权限 
的 用 户 ,必须 首先 登录 到 自己 的 账户 ,然后 ,再 通过 su 命令 进入 root 账号 。 这 个 特点 使 
得 对 那些 使 用 root 账户 的 用 户 跟踪 变 得 容易 ,因为 su 命令 记录 了 调用 它 的 用 户 名 以 及 
调用 时 间 。 这 个 特点 也 增加 了 系统 的 安全 度 , 因 为 登录 者 必须 知道 两 个 口令 才能 得 到 超 
级 用 户 的 特权 。 


722 UNX 安 全 性 分 析 


1 口令 安全 


UNIX 系统 中 的 /etc/passwd 文件 含有 每 个 用 户 的 所 有 信息 (加 密 后 的 口令 可 存 于 / 
etc/shadow 文件 中 )。 

/etc/passwd 中 包含 有 用 户 的 登录 名 、 经 过 加 密 的 口令 ,用户 号 ,用户 组 号 .用 户 注 
释 、 用 户主 目录 和 用 户 所 用 的 shell 程序 。 其 中 用 户 号 (UID) 和 用 户 组 号 (GID) 用 于 
UNIX 系统 唯一 地 标识 用 户 和 同 组 用 户 及 用 户 的 访问 权限 。 

/etc/passwd 中 存放 的 加 密 口 令 用 于 用 户 登 录 时 输入 的 口令 经 计算 后 相 比 较 ,符合 
则 允许 登录 ,否则 拒绝 用 户 登录 。 用 户 可 用 passwd 命令 修改 自己 的 口令 ,但 不 能 直接 修 
改 /etc/passwd 中 的 口令 。 
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一 个 优秀 的 口令 至 少 应 有 8 个 字符 长 ,不 要 用 个 人 信息 (如 生日 、 姓 名 、 反 向 拼写 的 
登录 名 和 机 房 中 可 见 的 物品 等 )、 普 通 的 英语 单词 作为 口令 ,口令 中 最 好 有 一 些 非 字母 
(如 数字 、 标 点 符号 和 控制 字符 等 ), 还 要 便于 记忆 .不 能 写 在 纸 上 或 计算 机 中 的 文件 中 ， 
选择 口令 的 一 个 好 方法 是 将 两 个 不 相关 的 词 用 一 个 数字 或 控制 字符 相连 ,并 截断 为 8 个 
字符 。 当 然 ,如 果 你 能 记 住 8 位 乱码 更 好 。 

不 应 将 同一 个 口令 在 不 同 机 器 中 使 用 ,特别 是 在 不 同 级 别 的 用 户 上 使 用 同一 口令 ， 
否则 会 引起 全 盘 崩 溃 。 用 户 应 定期 改变 口令 ,至 少 3 个 月 要 改变 一 次 ,系统 管理 员 可 以 
强制 用 户 定期 做 口令 修改 。 

为 防止 眼 明 手 快 的 人 窃取 口令 ,在 输入 口令 时 应 确认 无 人 在 身边 。 


2. 文件 许可 权 


文件 属性 决定 了 文件 的 被 访问 权限 , 即 谁 能 存 取 或 执行 该 文件 。 用 1s -1 可 以 列 出 详 
细 的 文件 信息 ,如 : 


-wwrw 1 pat cs40 70 J 28 2:12 zabin 


包括 了 文件 许可 、 文 件 联结 数 、 文 件 所 有 者 名 、 文 件 相 关 组 名 、 文 件 长 度 、 上 次 存 取 日 
期 和 文件 名 。 

其 中 文件 许可 分 为 4 部 分 。 

符号 “-”。 表 示 文 件 类 型 。 

第 一 个 rwx。 表 示 文 件 属 主 的 访问 权限 。 

第 二 个 rwx。 表 示 文 件 同 组 用 户 的 访问 权限 。 

第 三 个 rwx。 表 示 其 他 用 户 的 访问 权限 。 

若 某 种 许可 被 限制 则 相应 的 字母 换 为 -”。 

在 许可 权限 的 执行 许可 位 置 上 ,可 能 是 其 他 字母 s,S,t,T。s 和 S 可 出 现在 所 有 者 
和 同 组 用 户 许可 模式 位 置 上 ,与 特殊 的 许可 有 关 , 下 面 将 讨论 。t 和 工 可 出 现在 其 他 用 户 
的 许可 模式 位 置 上 ,与 “粘贴 位 "有 关 而 与 安全 无 关 。 小 写字 母 (x,s,t) 表 示 执 行 许可 为 允 
许 , 负 号 或 大 写字 母 (-,S 或 T) 表 示 执 行 许可 为 不 允许 。 

改变 许可 方式 可 使 用 chmod 命令 ,并 以 新 许可 方式 和 该 文件 名 为 参数 。 新 许可 方式 
以 3 位 8 进 制 数 给 出 ,r 为 4,w 为 2,x 为 1。 如 rwxr-xr 一 为 754。 

chmod 也 有 其 他 方式 的 参数 可 直接 对 某 组 参数 修改 , 详 见 UNIX 系统 的 联机 手册 。 

文件 许可 权 可 用 于 防止 偶然 性 地 重 写 或 删除 一 个 重要 文件 (即使 是 属 主 自己 )。 

改变 文件 的 属 主 和 组 名 可 用 chown 和 chgrp 命令 ,但 修改 后 原 属 主 和 组 员 就 无 法 修 
改 回来 。 


3. 目录 许可 


在 UNIX 系统 中 ,目录 也 是 一 个 文件 ,用 ls -1 列 出 时 ,目录 文件 的 属性 前 面 带 一 个 
d, 目 录 许 可 也 类 似 于 文件 许可 ,用 1s 列 目录 要 有 读 许可 ,在 目录 中 增删 文件 要 有 写 许 可 ， 
进入 目录 或 将 该 目录 作 路 径 分 量 时 要 有 执行 许可 。 因 此 ,车 要 使 用 一 个 文件 ,必须 具有 


从 = 网 络 操作 系统 安全 169 


该 文件 及 找到 该 文件 的 路 径 上 所 有 目录 分 量 的 相应 许可 。 仅 当 要 打开 一 个 文件 时 ,文件 
的 许可 才 开 始 起 作用 ,而 rm、mv 只 需要 有 目录 的 搜索 和 写 许 可 ,而 不 需 文件 的 许可 ,这 
一 点 应 注意 。 


4. umask 命令 


umask 设置 用 户 文件 和 目录 的 文件 创建 默认 屏蔽 值 , 若 将 此 命令 放 和 人 入. profile 文件 ， 
就 可 控制 该 用 户 后 续 所 建文 件 的 存 取 许可 . umask 命令 与 chmod 命令 的 作用 正好 相反 ， 
它 告诉 系统 在 创建 文件 时 不 给 予 什么 样 的 存 取 许 可 。 


5. 设置 用 户 ID 和 同 组 用 户 ID 


用 户 ID 许可 (SUID) 和 同 组 用 户 ID 许 可 (SGID) 可 给 赋予 可 执行 的 目标 文件 ,因为 
只 有 可 执行 文件 才 有 意义 , 当 一 个 进程 执行 时 就 被 赋予 4 个 编号 ,以 标识 该 进程 隶属 于 
谁 ,分 别 为 实际 和 有 效 的 UID, 实 际 和 有 效 的 GID。 有 效 的 UID 和 GID 一 般 和 实际 的 
UID 和 GID 相同 ,有 效 的 UID 和 GID 用 于 系统 确定 该 进程 对 于 文件 的 存 取 许可 。 而 设 
置 可 执行 文件 的 SUID 许可 将 改变 上 述 情况 , 当 设 置 了 SUID 时 ,进程 的 有 效 UID 为 该 
可 执行 文件 的 所 有 者 的 有 效 UID, 而 不 是 执行 该 程序 的 用 户 的 有 效 UID, 因 此 ,由 该 程序 
创建 的 都 有 与 该 程序 所 有 者 相同 的 存 取 许可 。 这 样 ,程序 的 所 有 者 将 可 通过 程序 的 控制 
在 有 限 的 范围 内 向 用 户 发 布 不 允许 被 公众 访问 的 信息 。 同 样 ,SGID 是 设置 有 效 GID。 
可 用 chmod u 十 s 文 件 名 和 chmod u 一 s 文件 名 来 设置 和 取消 SUID 设置 ,用 chmod g 十 s 
文件 名 和 chmod g 一 s 文件 名 来 设置 和 取消 SGID 设置 。 当 文件 设置 了 SUID 和 SGID 
后 ,chown 和 chgrp 命令 将 全 部 取消 这 些许 可 。 


6. su 和 newgrp 命令 


1) su 命令 

UNIX 系统 允许 在 不 注销 用 户 的 情况 下 而 允许 另 一 用 户 登 录 进 入 系统 ,新 登录 的 用 
户 将 启动 新 的 shell, 并 将 有 效 和 实际 的 UID 和 GID 设置 给 该 用 户 , 因 此 必须 严格 将 root 
口令 保密 。 

2) newgrp 命令 

与 su 相似 ,用 于 修改 当前 组 名 。 


7. 文件 加 密 


crypt 命令 可 提供 给 用 户 用 以 加 密 文件 ,使 用 一 个 关键 词 将 标准 输入 的 信息 编码 为 
不 可 读 的 杂乱 字符 串 , 送 到 标准 输出 设备 。 再 次 使 用 该 命令 .用 同一 关键 词 作用 于 加 密 
后 的 文件 ,可 恢复 文件 内 容 。 一 般 来 说 ,在 文件 加 密 后 ,应 删除 原始 文件 ,只 留 下 加 密 后 
的 版 本 , 且 不 能 忘记 加 密 关键 词 。 在 vi 中 一 般 都 有 加 密 功 能 ,用 vi 一 x 命令 可 编辑 加 密 
后 的 文件 。 关 于 加 密 关 键 词 的 选取 规则 与 口令 的 选取 规则 相同 。 由 于 crypt 程序 可 能 被 
做 成 特 洛 依 木马 , 故 不 宜 用 口令 作为 关键 词 。 最 好 在 加 密 前 用 pack 或 compress 命令 对 
文件 进行 压缩 后 再 加 密 。 
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723 UNX 安 全 体系 结构 


UNIX 的 安全 体系 结构 可 以 按照 ISO/OSI 网 络 模型 的 层次 结构 将 它 分 成 7 层 , 如 
表 7-5 所 示 。 
表 7-5 UNIX 安全 体系 结构 


层 次 名 称 含 3 
7 Policy 安全 策略 定义 ,指导 
6 Personnel 使 用 设备 和 数据 的 人 员 
5 LAN 计算 机 设备 和 数据 
4 Internal Demark 内 部 区 分 
3 Gateway OSI 中 第 7.6、5、4 层 的 功能 
2 Packet-Filter OSI 中 第 3、2、1 层 的 功能 
1 External Demar 外 部 连接 


1，External Demark (外 部 连接 层 ) 


外 部 连接 层 定义 用 户 系统 如 何 与 设备 .电话 线路 或 其 他 用 户 不 能 直接 控制 的 介质 进 
行 连 接 。 完 整 的 用 户 安全 策略 应 包括 这 一 部 分 , 因 线路 本 身 可 允许 非 授权 访问 。 


2. Packet-Filter ( 包 过 滤 层 ) 


它 对 应 于 OSI 的 第 1 层 到 第 3 层 , 本 层 不 仅 提供 第 1 层 的 物理 连接 ,更 主要 的 是 根 
据 安全 策略 ,通过 用 户 层 的 进程 和 包 过 滤 规 则 对 网 络 层 中 的 IP 包 进 行 过 滤 。 一 般 的 包 
过 滤 算 法 是 采用 查 规 则 表 来 实现 的 , 它 根据 “条 件 / 动 作 ” 的 规则 序列 来 判断 是 将 包 传 给 
路 由 还 是 将 包 丢 弃 。 


3. Gateway (嵌入 的 UNIX 网 关 层 ) 


嵌入 的 UNIX 网 关 层 定义 了 整体 平台 包括 第 4 层 的 网 络 接口 以 及 第 3 层 的 路 由 器 。 
它 用 于 为 广域网 提供 防火 墙 服务 。 


4. Internal Demark (内 部 区 分 层 ) 


内 部 区 分 层 定义 了 用 户 如 何 将 局 域 网 连接 到 广域网 以 及 如 何 将 局 域 网 连接 到 防火 
墙 上 。 


5. LAN( 局 域 网 层 ) 


局 域 网 层 定 义 用 户 的 安全 程序 要 保护 的 设备 和 数据 ,包括 计算 机 互联 设备 。 如 路 由 
器 .单一 的 UNIX 主机 等 。 
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6. Personnel (用 户 层 ) 


用 户 层 定 义 了 UNIX 的 安装 操作、 维护 、 使 用 以 及 通过 其 他 方法 访问 网 络 的 人 员 。 
从 广义 上 讲 , 对 UNIX 多 用 户 环境 下 的 应 用 进程 也 应 算 在 其 中 。 这 一 层 的 安全 策略 应 该 
反映 出 用 户 对 总 体系 统 安全 的 期 望 值 。 


7. Policy( 策 略 层 ) 
策略 层 主要 定义 组 织 的 安全 策略 ,包括 安全 策略 的 需求 分 析 、 安 全 方针 的 制定 。 


724 保障 UNX 安 全 的 具体 措施 


1. 防止 缓冲 区 溢出 


据 统计 , 约 80% 以 上 的 安全 问题 来 自 缓冲 区 溢出 。 攻 击 者 通过 写 一 个 超过 缓冲 区 长 
度 的 字符 串 , 然 后 植 人 到 缓冲 区 ,可 能 会 出 现 两 个 结果 .一 是 过 长 的 字符 串 覆 盖 了 相 邻 的 
存储 单元 ,引起 程序 运行 失败 ,严重 的 可 导致 系统 崩溃 ; 另 有 一 个 结果 就 是 利用 这 种 漏洞 
可 以 执行 任意 指令 ,甚至 可 以 取得 系统 root 特级 权限 。 一 些 版 本 的 UNIX 系统 (如 
Solaris 2.6 和 Solaris 7) 具 备 把 用 户 堆栈 设 成 不 可 执行 的 功能 ,以 使 这 种 攻击 不 能 得 进 。 
以 下 是 具体 步骤 。 

。 进入 root 目录。 

。 对 /etc/system 文件 做 个 备份 cp /etc/system /etc/system. BACKUP。 

。 用 编辑 器 编辑 /etc/system 文件 。 

。 到 文件 的 最 后 ,插入 以 下 几 行 : 

Set noexec user stack=1 

Set noexec user stack log= 15 

保存 文件 ,退出 编辑 器 后 ,重启 计算 机 ,以 使 这 些 改变 生效 。 但 要 注意 可 能 有 些 合法 
使 用 可 执行 堆栈 的 程序 在 做 如 上 改变 后 不 能 正常 运行 。 


2. 在 inetd. conf 中 关闭 不 用 的 服务 


UNIX 系统 中 有 许多 用 不 着 的 服务 自动 处 于 激活 状态 。 有 部 分 服务 存在 的 安全 漏 
洞 会 使 攻击 者 根本 不 需要 账户 就 能 控制 机 器 。 为 了 系统 的 安全 ,应 把 不 用 的 功能 关闭 ， 
以 限制 的 文件 限制 访问 权限 。 可 以 用 以 下 方法 来 关闭 。 

(1) 进入 root 目录 。 

(2) 备份 inetd 的 配置 文件 /etc/inetd. conf, 即 : 


Pp /etc/inetd.omf /etc/inetd.conf.BRCKUP 


(3) 编辑 /etc/inetd. conf 文件 。 
以 *# "符号 注释 掉 不 需要 的 服务 ,使 其 处 于 不 激活 的 状态 。 在 需要 很 高 安全 性 的 机 
器 上 ,最 好 注释 掉 Telnet 和 FTP, 即 使 要 使 用 此 两 项 服务 ,也 要 对 使 用 情况 进行 限制 ,如 
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用 TCP Wrapper 对 使 用 Telnet 或 FTP 的 IP 地 址 进行 限制 。 
(4) 在 改变 /etc/inetd. conf 后 ,找到 inetd 进程 的 ID 号 ,用 kill 向 它 发 送 HUP 信和 号 
来 刷新 。 一 定 要 确保 kill 了 inetd 进程 后 , 它 仍 旧 在 运行 。 


3. 给 系统 打 补丁 


UNIX 系统 被 发 现 的 漏洞 ,几乎 都 有 了 相应 的 补丁 程序 。 因 此 ,系统 管理 员 需 对 系 
统 漏洞 做 及 时 的 修补 。 


4. 重要 主机 单独 设立 网 段 


从 安全 角度 考虑 ,应 当 将 重要 机 密 信 息 应 用 的 主机 单独 设立 一 个 网 段 , 以 避免 某 一 
台 计算 机 被 攻破 时 ,造成 整个 系统 全 部 暴露 。 


5. 定期 检查 


定期 检查 系统 日 志文 件 ,在 备份 设备 上 及 时 备份 。 定 期 检查 关键 配置 文件 (最 长 不 
超过 1 个 月 )。 
重要 用 户 的 口令 应 该 定期 修改 (不 长 于 3 个 月 ) ,严格 要 求 不 同 主机 使 用 不 同 的 口令 。 
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731 Windows 8B8 屏 保 口令 的 破解 与 保护 技术 


利用 Windows 98 系统 的 屏幕 保护 功能 可 以 有 效 地 防止 他 人 在 自己 不 在 的 情况 下 偷 
用 自己 的 计算 机 ,从 而 起 到 安全 保护 的 作用 。 不 过 在 不 配合 其 他 限制 功能 的 情况 下 , 系 
统 的 屏幕 保护 是 非常 脆弱 的 。 在 遗忘 了 密码 之 后 ,只 需 使 用 “复位 (REST)" 按 钮 强行 启 
动 计算 机 ,然后 , 右 击 桌面 空白 处 并 从 弹出 的 快捷 菜单 中 执行 “属性 ”命令 ,打开 * 显 示 属 
性 "设置 对 话 框 并 单 击 “ 屏 幕 保护 ”选择 项 ,最 后 取消 “密码 保护 ”选项 即 可 。 

车 计算 机 有 登录 限制 , 则 破解 屏幕 保护 密码 要 困难 些 , 可 采用 以 下 几 种 方法 。 


1. 利用 网 络 破解 


在 计算 机 局 域 网 内 利用 另 一 台 计 算 机 作为 解码 机 ,首先 将 解码 机 的 IP 地 址 改 为 需 
要 破解 计算 机 的 IP 地 址 ,利用 硬件 冲突 优先 的 原理 就 可 以 使 Windows 98 跳 过 屏幕 保护 
程序 。 

当 解码 机 修改 IP 地 址 并 重新 启动 后 ,在 需要 破解 屏幕 保护 程序 的 计算 机 上 会 出 现 
“IP 地 址 硬件 冲突 ”的 提示 框 , 单 击 “确定 ”按钮 后 ,系统 不 要 求 输入 屏幕 保护 的 密码 就 能 
直接 进入 Windows 98 桌面 。 


2. 利用 光盘 的 自动 运行 特性 (autorun) 破 解 
车 光盘 上 带 有 Autorun. inf 文件 ,插入 这 张 光盘 后 ,光驱 就 会 自动 启动 。 其 运行 程序 
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就 是 Autorun. inf 文件 上 “open 王 ”后 指定 的 程序 。 该 程序 运行 完毕 ,自动 回 到 Windows 98 
桌面 。 


3. 防护 措施 


防止 这 种 攻击 的 有 效 手段 是 禁止 光盘 的 Autorun 特性 。 

。 从 控制 面板 上 打开 * 系 统 ”。 

。 选择 “设备 管理 器 ”。 

。 展开 CDROM 选项 ,双击 COROM 选项 下 的 设备 名 ,如 图 7-6 所 示 。 

。 选择 “设置 "选项 卡 , 取 消 选 中 “自动 插入 通告 " 复 选 框 ,如 图 7-7 所 示 。 
系统 妹 性 EE3| 
第 机 。 设备 管理 器 | 硬件 配 和 文件 | 性 路 | | 


[x] 
人 按 尖 型 查 看 设备 和 = 个 按 连接 查看 设备 C) 


看 各 下 机 设备 
PI Universal Srin as 


出 -a 设备 到 
CE Wo | Mme | mw | 


到 | 了 了 
图 7-6 系统 属性 图 7-7 CD-ROM 设置 


732 注册 表 修复 技术 


本 小 节 介绍 Windows 2000 的 注册 表 的 修复 技术 ,该 技术 可 作为 其 他 版 本 Windows 
系统 注册 表 修复 的 参考 。 


1. 屏蔽 “控制 面板 "中 的 指定 项 目 


屏蔽 “控制 面板 "中 的 某 些 项 目 , 以 防止 用 户 进 行 任意 设置 。 新 建 一 个 双 字 节 
(REG_DWORD) 值 项 HKEY _ CURRENT _ USER \ Software \ Microsoft \ Windows \ 
CurrentVersion\Policies\ Explorer\ DisallowCpl, 修 改 其 值 为 1。 然后 新 建 一 个 注册 表 项 
HKEY_CURRENT _ USER\ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ 
Explorer\DisallowCpl, 在 该 项 下 新 建 若干 个 字符 串 (REG_SZ) 值 项 ,形式 为 “序号 一 控制 
面板 项 对 应 的 文件 名 ”。 如 想 屏蔽 控制 面板 中 的 “显示 ”和 “系统 ”两 项 ,可 以 在 该 项 下 新 
建 两 个 值 项 1 和 2, 值 分 别 为 “desk. cpl”( 显 示 项 对 应 的 文件 ) 和 sysdm. cpl( 系 统 项 对 应 
的 文件 )。 重 启 计算 机 更 改 生效 。 
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2. 指定 “控制 面板 "中 显示 的 项 目 


在 “控制 面板 "中 只 显示 指定 的 项 目 ,对 于 没有 指定 的 项 目 则 不 显示 。 新 建 一 个 双 字 节 
(REG_DWORD) 类 型 的 值 项 HKEY_CURRENT_USER\Software\ Microsoft\ Windows\ 
Current Version\ Policies\ Explore\ RestrictCpl, 修改 其 值 为 1, 然 后 新 建 一 个 注册 表 项 
HKEY_CURRENT_USER\ Software \ Microsoft \ Windows \ Current Version \ Policies \ 
Explore\RestrictCpl, 在 该 项 下 新 建 若干 个 字符 串 (REG_SZ) 值 项 ,形式 为 “序号 一 控制 面板 
项 对 应 的 文件 名 ”。 如 只 允许 用 户 使 用 控制 面板 中 的 “显示 ”和 “系统 ”两 项 ,可 以 在 该 项 下 新 
建 两 个 值 项 1 和 2, 值 分 别 为 “desk. cpl” 和 sysdm. cpl。 重 启 计 算 机 更 改 生效 。 

注意 ,使 用 “屏蔽 控制 面板 中 的 指定 项 目 " 和 “指定 控制 面板 中 显示 的 项 目 ” 都 可 以 定 
制 控制 面板 中 项 目的 显示 ,但 是 这 两 个 方法 有 可 能 发 生 冲 突 。 如 果 发 生 冲突 , 则 * 屏 项 控 
制 面板 中 的 指定 项 目 ”设置 优先 。 

3. 禁用 控制 面板 中 的 “显示 "项 

禁止 使 用 “控制 面板 ”中 的 显示 项 。 虽然 该 项 仍然 会 出 现在 “控制 面板 "中 ,但 是 却 不 
能 使 用 。 新 建 一 个 双 字 节 (REG_DWORD) 的 值 项 HKEY_CURRENT_USER\Software 
\Microsoft\Windows\Current Version\Policies\System\NoDispCPL ,修改 其 值 为 1。 这 
时 进入 “控制 面板 ”, 双 击 “ 显 示 ” 项 ,系统 会 出 现 一 个 消息 框 提 示 用 户 不 可 以 进行 此 操作 。 
重启 计算 机 更 改 生效 。 


4. 屏蔽 “显示 ”项 中 的 “背景 "选项 卡 

通过 屏蔽 “背景 "选项 卡 ,可 以 避免 用 户 更 改 桌 面 的 墙纸 。 新 建 一 个 双 字 节 值 项 
HKEY_CURRENT_USER\Software\ Microsoft\ Windows\Current Version\Policies\ 
system\NoDispBackgr oundPage, 修 改 其 值 为 1。 重启 计算 机 更 改 生效 。 


5. 禁止 “显示 ”项 里 的 “背景 "选项 卡 


通过 禁止 “显示 ”项 里 的 “背景 "选项 卡 ,“ 背 景 "页 中 的 各 个 按钮 和 选择 项 都 变 成 不 可 
选 状态 ,这 样 用 户 将 无 法 更 改 当前 的 墙纸 和 背景 。 新 建 一 个 双 字 节 值 项 HKEY_ 
CURRENT _ USER \ Software \ Microsoft \ Windows \ Current Version \ Policies \ 
ActiveDesktop\No ChangingWallPaper ,修改 其 值 为 1。 重启 计算 机 更 改 生 效 。 


6. 屏蔽 “显示 ”项 中 的 外观" 选项 卡 


新 建 一 个 双 字 节 (REG_DWORD) 值 项 HKEY_CURRENT_USER\Software\Microsoft\ 
Windows\Current Version\ Policies\system\ NoDispAppearancePage, 修 改 其 值 为 1。 重启 计 
算 机 更 改 生效 。 


7. 禁止 在 “打印 机 ”项 中 删除 打印 机 


新 建 一 个 双 字 节 (REG_DWORD) 值 项 HKEY_CURRENT_USER\Software\Microsoft\ 
Windows\Current Version\Policies\Explorer\ NoDeletePrinter, 修 改 其 值 为 1。 这 时 进入 “ 控 
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制 面板 ”, 选 定 一 个 打印 机 , 右 击 ,选择 快捷 菜单 中 的 “删除 ”, 系 统 会 弹出 一 个 消息 框 ,提示 用 
户 不 能 进行 删除 打印 机 的 操作 。 


8. 屏蔽 “打印 机 ”中 的 “添加 打印 机 ” 


可 以 去 除 “ 打 印 机 ”项 中 的 “添加 打印 机 ”, 以 防止 用 户 任意 配置 新 的 打印 机 。 新 建 一 
个 字符 串 (REG_SZ) 值 项 HKEY_CURRENT_USER\Software\ Microsoft\ Windows\ 
Current Version\ Policies\Explorer\NoAddPrinter, 修改 其 值 为 1。 重启 计算 机 更 改 
生效 。 


9. 屏蔽 “添加 /删除 "项 


通过 “控制 面板 ”中 的 “添加 /删除 ”项 ,用 户 可 以 安装 和 秃 载 Windows 2000 的 应 用 程 
序 , 还 可 以 添加 和 删除 Windows 2000 的 功能 组 件 。 

新 建 一 个 字符 串 (REG_SZ) 值 项 HKEY_CURRENT_USER\Software\Microsoft\ 
Windows\Current Version\Policies\Uninstall\NoAddRemovePrograms ,修改 其 值 为 1。 
这 时 再 进入 到 “控制 面板 "中 ,可 以 看 到 “添加 /删除 ”图 标 不 见 了 。 


10. 屏蔽 “添加 /删除 ”项 中 的 “更 改 或 删除 程序 "选项 


可 以 屏蔽 掉 “ 添 加 /删除 ”项 中 的 “更 改 或 删除 程序 ”阻止 用 户 更 改 或 删除 程序 。 新 建 
一 个 双 字 节 (REG_DWORD) 值 项 HKEY_CURRENT _USER\Software\ Microsoft\ 
Windows\CurrentVersion\Policies\Uninstall\NoRemovePage, 修 改 其 值 为 1。 刷 新 桌面 
使 更 改 生效 。 


11. 屏蔽 “添加 /删除 ”项 中 的 “添加 新 程序 ” 


可 以 通过 屏蔽 掉 * 添 加 /删除 ?项 中 的 “添加 新 程序 "以 阻止 用 户 添加 新 程序 。 新 建 一 
个 双 字 节 (REG_DWORD) 值 项 HKEY_CURRENT_USER \ Software\ Microsoft\ 
Windows\Current Version\Policies\Uninstall\NoAddPage, 修 改 其 值 为 1。 


12. 屏蔽 “添加 /删除 ”项 中 的 “添加 /删除 Windows 组 件 ” 


可 以 屏蔽 掉 “ 添 加 /删除 ?项 中 的 “添加 /删除 Windows 组 件 ”。 使 用 户 不 能 通过 “ 添 
加 /删除 ”项 中 的 “添加 /删除 Windows 组 件 " 安 装 新 的 Windows 2000 应 用 程序 。 新 建 一 
个 双 字 节 (REG_DWORD) 值 项 HKEY_CURRENT_USERA\ Software\ Microsoft \ 
Windows\Current Version\Policies\Uninstall\NoWindowsSetupPage, 修 改 其 值 为 1。 


13. 屏蔽 “添加 /删除 ”项 目 “添加 新 程序 "中 的 “从 光盘 或 软盘 添加 程序 ” 


通过 “添加 /删除 ”项 中 的 “添加 新 程序 ”, 用 户 可 以 安装 新 的 Windows 2000 应 用 程 
序 。 可 以 去 除 掉 “ 从 光盘 或 软盘 添加 程序 ”方式 。 新 建 一 个 双 字 节 CREG_DWORD) 值 项 
HKEY_CURRENT_USER\Software\Microsoft\ Windows\Current Version\Policies\ 
Uninstall\NoAddFromCDor Floppy .修改 其 值 为 1。 
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14. 优化 CDROM 预 读 取 性 能 


在 HKEY_LOCAL MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem 
NMCDFS 下 ,新 建 项 Prefetch(dword 类 型 ) ,根据 CDROM 的 速度 来 给 Prefetch 赋值 。 

16 倍速 : 00000380 24 倍速 : 00000540 

32 倍速 : 00000700 36 倍速 : 00000750 

40 倍速 : 00000000 48 倍速 : 00000000 

如 果 改 后 CDROM 工作 不 正常 , 则 降低 一 个 级 别 赋值 。 


15. 提高 软驱 读 写 缓冲 性 能 


在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Class\f{dc\ 
0000 下 ,新 增 项 ForceFIFO(dword 类 型 ) ,设置 键 值 为 1。 


16. 优化 文件 系统 


在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem 
下 ,新 增 项 ConfigFileAllocSize(dword 类 型 ) ,设置 键 值 为 000001f4 。 


17. 删除 不 必要 的 自 启动 程序 


在 HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft \ Windows \ Current- 
Version\Run 下 ,删除 不 必要 的 自 启动 程序 对 应 的 键 值 。 有 些 程序 也 可 能 藏 在 Run 项 下 
的 SysExpl 子 项 下 ,如 有 该 子 项 ,将 其 中 的 键 值 删 除 ,同样 也 能 取消 自 启动 程序 。 


18. 印 载 不 用 的 应 用 软件 


在 HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\ Windows \ Current- 
Version\Uninstall 下 ,新 建 应 用 软件 子 项 ,然后 在 该 子 项 中 ,新建 项 DisplayName(REG_ 
SZ 类 型 , 值 为 “软件 文件 名 ”) 和 UninstallString(REG_SZ 类 型 , 值 为 带路 径 的 “ 反 安 装 程 
序 文件 名 ”) 。 

19. 删除 软件 残 骨 垃 圾 


有 些 程序 卸载 后 还 有 注册 信息 留 在 注册 表 内 .时 间 一 长 ,这 种 垃圾 愈 来 愈 多 ,影响 机 器 
运行 速度 和 效率 。 应 经 常 进入 HKEY_LOCAL_MACHINE\Software、.HKEY_CURRENT_ 
USER\Software.HKEY_USERS \Default\Software 下 ,查找 并 删除 这 些 垃圾 。 


20. 自动 登录 系统 


在 HKEY_LOCAL MACHINE\SOFTWARE \Microsoft\Windows NT\Current-Version 
\Winlogon 下 ,修改 AutoAdminLogon 项 , 键 值 为 1 .表示 自动 登录 ; 键 值 为 0 显示 登录 窗口 ， 
然后 手工 登录 。 
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21. 禁止 活动 桌面 功能 


在 HKEY_CURRENT_USER\Software\Microsoft\ Windows\ CurrentVersion\ 
Policies\Explorer 下 ,新 增 项 NoActiveDesktop(dword 类 型 ) , 键 值 为 “hex: 01000000”， 
表示 禁止 活动 桌面 功能 ;为 0 表示 启用 。 


22. 清理 在 桌面 上 右 击 弹出 的 菜单 中 的 “新 建 "命令 


在 HKEY_CLASSES_ROOT 和 HKEY_LOCAL_MACHINE 下 ,从 左边 的 两 个 主 
项 中 ,搜索 shellnew 并 把 该 子 项 删除 即 可 。 


23. 清除 配色 方案 


在 HKEY_CURRENT_USER\Control Panel\Appearance\Schemes 下 ,窗口 右边 会 
出 现 系 统 自 带 的 各 种 配色 方案 ,将 自己 认为 无 用 的 配色 方案 删除 ,一 般 只 保留 “Windows 
默认 ”一 项 。 


24. 加 速 菜单 显示 


在 HKEY_CURRENT_USER\Control Panel\Desktop 下 ,新 建 项 MenuShowDelay 
(REG_SZ 类 型 , 值 设 为 0) 。 


25. 删除 多 余 的 DLL 文件 


在 HKEY_LOCAL_MACHINE\SOFTWARE \ Microsoft\ Windows\CurrentVersionN 
SharedDlls 下 ,每 个 DLL 文件 的 键 值 说 明 它 已 被 几 个 应 用 程序 所 共享 。 如 果 是 二 进 制 “00 
00 00 00”, 则 表明 不 被 任何 程序 共享 ,可 以 删除 。 删 除 前 先 打 开 该 键 值 , 记 下 DLL 文件 的 名 
称 和 位 置 ,然后 删除 该 键 值 和 对 应 的 文件 。 


26. 隐藏 任务 栏 上 “ 单 击 这 里 开始 "的 提示 


在 HKEY_CURRENT_USERA\Software\ Microsoft\ Windows\ CurrentVersion\ 
Policies\Explorer 下 ,新 建 项 NoStartBanner(dword 类 型 ) , 键 值 为 1 表示 隐藏 该 项 提示 ; 
为 0 表示 显示 。 


27. 记忆 最 后 一 次 拨号 上 网 用 户 的 用 户 名 和 密码 


在 HKEY_LOCAL_MACHINE\SYSTEMANCurrentControlSet\Services\RasMan\ 
Parameters 下 ,新 建 项 DisableSavePassword,REG_DWORD 类 型 . 键 值 为 1 表示 不 记忆 
用 户 名 和 密码 ;为 0 则 表示 记忆 。 


28. 自动 刷新 窗口 内 容 


在 HKEY_LOCAL MACHINE\SYSTEM\CurrentControlSet\Control\ Update 下 ， 
查找 UpdateMode 项 ,默认 键 值 为 1 ,表示 手 工 刷新 ; 改 为 0, 表 示 自 动 刷新 。 
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29. 禁止 将 最 近 操作 过 的 文档 放 入 文档 菜单 历史 记录 中 


在 HKEY_CURRENT_USER\Software\ Microsoft\ Windows\ CurrentVersion\ 
Policies\Explorer 下 ,新 建 项 NoRecentDocsHistory(dword 类 型 ) , 键 值 为 1 表示 禁止 此 
项 功能 ;为 0 表示 人 允许 此 项 功能 。 


30. 退出 系统 时 .自动 清除 文档 菜单 中 的 历史 记录 


在 HKEY_CURRENT_USER\Software\ Microsoft\ Windows\ CurrentVersion\ 
Policies\Explorer 下 ,新 建 项 ClearRecentDocsOnExit(dword 类 型 ) , 键 值 为 1 表示 自动 
清除 历史 记录 ;为 0 表示 不 清除 历史 记录 。 

31. 应 用 程序 出 错时 等 待 响应 的 时 间 ( 毫 秒 ) 


在 HKEY_CURRENT_USER\ControlPanel\desktop 下 ,查找 项 HungAppTimeout 
和 HungAppTimeout。 它 们 的 默认 键 值 设 为 *5000 毫秒 ”, 可 以 改 为 用 户 需 要 的 值 ,来 加 
快 系统 的 响应 速度 和 处 理 能 力 。 


32. 关闭 程序 时 的 等 待 时 间 ( 毫 秒 ) 


运行 “任务 管理 器 /应 用 程序 /结束 任务 "时, 出现 “结束 任务 ”“ 等 待 ”提示 时 ,选择 “等 
待 ”的 时 间 。 在 HKEY_CURRENT_USER\ControlPanel\ desktop 下 ,项 为 WaitToKillApp- 
Timeout, 默 认 键 值 为 “5000 毫秒 ”, 可 减少 该 等 待 时 间 。 


33. 自动 关闭 停止 响应 的 程序 


在 HKEY_CURRENT_USER\Control Panel\desktop 下 ,项 AutoEndTasks, 键 值 
为 1 表示 自动 关闭 停止 响应 的 程序 ;为 0 表示 手工 关闭 。 


34. 系统 崩溃 后 自动 重新 启动 


系统 崩溃 后 会 蓝屏 死机 ,开机 重启 动 时 会 检查 磁盘 ,很 费时 。 可 设置 系统 崩溃 后 自 
动 可 置 为 重新 启动 ,方法 是 : 

在 HKEY_LOCAL MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl 下 ， 
将 项 AutoReboot 的 键 值 置 为 1。 


35. 清理 安全 日 志 


在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 下 ,项 
crashonauditfail , 键 值 为 1 表示 自动 处 理 安全 日 志 ; 为 0 表示 手工 清理 安全 日 志 。 


36. 激活 DOS 命令 窗口 快速 编辑 模式 


在 HKEY_CURRENT_USER\Console 下 ,项 QuickEdit(dword 类 型 ) , 键 值 为 1 表 
示人 允许 激活 快速 编辑 模式 ;为 0 表示 禁止 激活 快速 编辑 模式 。 
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注意 ,对 于 不 熟悉 Windows 内 核 及 注册 表 内 容 的 用 户 , 修 改 注册 表 一 定 要 并 慎 , 最 
好 不 要 随意 修改 注册 表 , 以 免 造 成 不 必要 的 损失 。 另 外 ,在 修改 注册 表 前 ,一 定 要 先 备份 
注册 表 , 一 旦 修改 后 系统 出 错 , 可 用 备份 的 注册 表 恢复 。 


733 利用 任务 管理 器 进行 进程 管理 


1. 如 何 启动 任务 管理 器 


在 Windows 2000/XP 下 , 按 Ctrl 十 Alt 十 Del 组 合 键 , 即 进入 Windows 任务 管理 器 ” 
对 话 框 ,如 图 7-8 所 示 。 


下 Windows 任务 管理 器 


任务 
加 第 /可 系统 实 全 - 有 cryeofgt Word 


同治 后 作 = 
加] Windows 2000 安 全 设置 充 全 手册 (上) Mier 
回 wnzoow 
上 4 ~ Nieroroft Interret. 


HwerSnap 6 


| 进程 数 : 29 CPU 使 用 : 100% 提交 更 必 ; 218808 | 620096K 
图 7-8 “Windows 任务 管理 器 "对 话 框 


Windows 任务 管理 器 共有 应 用 程序 .进程 ,性 能 .联网 和 用 户 等 5 个 选项 卡 。 
在 任务 管理 器 中 选择 “应 用 程序 ”选项 卡 即 进入 应 用 程序 查看 窗口 ,在 该 窗口 下 可 以 
看 到 当前 运行 的 所 有 应 用 程序 ,如 图 7-8 所 示 。 


2. 进程 管理 
在 任务 管理 器 中 选择 “进程 ”选项 卡 , 即 进入 进程 管理 窗口 ,如 图 7-9 所 示 。 


三 Windows 任务 管理 器 


有 
加 


EEEELELELELELELLE EI 
ee ol 
上 信 风 洛 关 襄 轨 民 当 各 内 各 外 吕 吕 | 


图 7-9 任务 管理 器 -进程 管理 
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在 图 7-9 所 示 的 进程 管理 窗口 中 ,可 以 看 到 当前 在 本 机 上 运行 的 所 有 进程 ,以 及 进程 
用 户 .占用 CPU 时 间 ( 比 率 ) 、 内 存 使 用 情况 等 信息 。 

可 以 根据 图 7-9 所 提供 进程 运行 情况 ,可 以 发 现 可 疑 的 进程 以 及 运行 异常 (如 CPU 
占用 率 过 高 .内存 占用 太 大 等 ) 的 进程 ,以 便 及 时 采取 措施 ,比如 对 该 进程 进行 监控 ,也 可 
采取 切断 网 络 .关闭 进程 等 措施 。 关 闭 进 程 的 方法 是 在 图 7-9 所 示 的 进程 管理 窗口 中 , 选 
择 相应 的 进程 ,并 单 击 “ 结 束 进程 "按钮 即 可 。 


734 基于 Windows XP 环境 的 本 地 安全 策略 


1. 怎样 进入 本 地 安全 策略 


在 Windows XP 下 单 击 * 开 始 "|* 控 制 面 版 "|* 管 理工 具 ”|* 本 地 安全 策略 ”, 即 进入 
“本 地 安全 设置 窗口 ,如 图 7-10 所 示 。 


吉本 地 安全 股 置 


件 当 科 策略 


加 信 安全 第 本， 在 本 地 计算 机 


软件 限制 策略 
晶 人 PP 安全 征 咯 ,在 本 地 计算 机 


图 7-10 “本 地 安全 设置 "窗口 


2. 本 地 安全 策略 的 设置 


从 图 7-10 可 看 出 ,本 地 安全 策略 设置 窗口 一 分 为 二 ,左边 窗口 是 一 个 可 展开 的 功能 
菜单 ,右边 窗口 是 选中 子 项 的 安全 策略 内 容 。 

在 这 里 ,以 “密码 策略 ”的 设置 为 例 ,介绍 基于 Windows XP 环境 下 本 地 安全 策略 的 
设置 。 

在 图 7-10 所 示 的 本 地 安全 设置 主 窗口 下 , 单 击 左 窗口 中 的 “账户 策略 "|“ 密 码 策略 ” 
子 项 ,进入 密码 策略 设置 窗口 ,如 图 7-11 所 示 。 

如 图 7-11 所 示 ,密码 策略 有 “密码 复杂 性 、 密 码 长 度 、 密 码 最 长 存留 期 密码 最 短 存留 
期 ,强制 历史 密码 和 用 户 还 原 ” 等 设置 项 。 

1) 密码 复杂 性 设置 

密码 复杂 性 设置 用 以 确认 密码 是 否 要 求 符合 复杂 性 要 求 。 

在 图 7-11 中 ,选择 右 窗口 的 “密码 必须 符合 复杂 性 要 求 ”设置 项 , 右 击 ,系统 弹出 一 个 下 
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轧 亚 实 全 策略 ， 正 丰 地 计算 机 


图 7-11 密码 策略 


拉 式 菜单 ,在 该 下 拉 菜单 中 选择 “属性 ”命令 ,得 到 一 个 如 图 7-12 所 示 的 对 话 框 。 

根据 要 求 选择 “已 启用 ?或 “已 禁用 ?选项 并 单 击 * 确 定 "按钮 。 

2) 密码 长 度 的 设置 

密码 长 度 设置 用 以 指定 密码 的 位 数 ,根据 现代 密码 学 的 要 求 ,安全 密码 长 度 至 少 应 
在 6 位 以 上 ,最 好 是 8 位 或 8 位 以 上 。 

在 图 7-11 中 ,选择 右 窗口 的 “密码 长 度 最 小 值 ” 设 置 项 , 右 击 ,系统 弹出 一 个 下 拉 式 菜 
单 ,在 该 下 拉 菜 单 中 选择 “属性 ”命令 ,得 到 一 个 如 图 7-13 所 示 的 对 话 框 。 


密码 必须 符合 复杂 性 要 求 属性 


四 密码 必须 符合 复杂 性 要 求 


OBEB 用 @) 


OEM 


图 7-12 密码 复杂 性 设置 图 7-13 密码 长 度 设置 


在 图 7-13 中 ,选择 一 个 密码 长 度 后 单 击 “ 确 定 "按钮 ,密码 长 度 设置 完毕 。 
其 他 安全 策略 设置 方法 与 操作 步骤 与 上 述 的 密码 设置 方法 与 操作 步骤 相同 。 


习 是 7 


. Windows 2000 Server 的 安全 设置 包括 哪 几 个 方面 的 内 容 ? 

.Windows 2000 Server 的 安全 策略 主要 包括 哪 两 大 类 7? 

.Windows 2000 Server 安全 策略 的 账户 中 保护 安全 策略 的 主要 措施 是 什么 ? 
.Windows 2000 Server 安全 策略 的 账户 中 系统 监控 安全 策略 的 主要 措施 是 什么 ? 
. UNIX 的 安全 体系 结构 的 内 容 是 什么 ? 


am ho 
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811 防火 墙 的 基本 概念 


1. 防火 墙 的 基本 概念 


古 时 候 , 人 们 常 在 寅 所 之 间 砌 起 一 道 砖 墙 ,一 旦 火灾 发 生 , 它 能 够 防止 火势 蔓延 到 别 
的 寅 所 。 自 然 , 这 种 墙 因此 而 得 名 "防火墙 (firewall)”。 现 在 ,如 果 一 个 网 络 连接 了 
Internet, 它 的 用 户 就 可 以 访问 外 部 世界 并 与 之 通信 ,同时 ,外 部 世界 也 同样 可 以 访问 该 
网 络 并 与 之 交互 。 为 安全 起 见 ,可 以 在 该 网 络 和 Internet 之 间 插 入 一 个 中 介 系 统 , 竖 起 
一 道 安全 屏障 ,这 道 屏障 的 作用 是 阻 断 来 自 外 部 通过 网 络 对 本 网 络 的 威胁 和 入 侵 , 提 供 
扼守 本 地 网 络 的 安全 和 审计 的 关卡 。 这 种 中 介 系统 叫做 “防火 墙 ?或 “防火 墙 系统 ”。 

防火 墙 是 在 两 个 网 络 间 实 现 访问 控制 的 一 个 或 一 组 软 硬 件 系 统 。 防 火 墙 的 最 主要 
功能 就 是 屏蔽 或 允许 指定 的 数据 通信 ,而 该 功能 的 实现 又 主要 是 依靠 一 套 访问 控制 策 
略 , 由 访问 控制 策略 来 决定 通信 的 合法 性 。 

防火 墙 是 在 两 个 网 络 通信 时 执行 的 一 种 访问 控制 手段 , 它 能 允许 * 经 同意 "的 人 和 数 
据 进入 用 户 的 网 络 ,同时 将 “未 经 同意 "的 人 和 数据 拒 之 门 外 , 最 大 限度 地 阻止 网 络 中 的 
非法 用 户 来 访问 用 户 的 网 络 .防止 他 们 更 改 、 复 制 和 毁坏 用 户 的 重要 信息 。 防 火 墙 实质 
上 就 是 一 种 过 滤 塞 ,只 让 经 用 户 允 许 的 内 容 通 过 这 个 塞 子 , 别 的 内 容 都 统统 过 滤 掉 。 在 
网 络 的 世界 里 ,要 由 防火 墙 过 滤 的 就 是 承载 通信 数据 的 通信 和 包 。 


2. 防火 墙 的 基本 任务 


防火 墙 在 实施 安全 的 过 程 中 是 至 关 重 要 的 。 一 个 防火 墙 策略 要 符合 4 个 目标 ,而 每 
个 目标 通常 都 不 是 通过 一 个 单独 的 设备 或 软件 来 实现 的 。 大 多 数 情 况 下 防火 墙 的 组 件 
放 在 一 起 使 用 以 满足 公司 安全 目的 的 需求 。 防 火 墙 要 能 确保 满足 以 下 4 个 目标 。 

1) 实现 一 个 公司 的 安全 策略 

防火 墙 的 主要 意图 是 强制 执行 用 户 的 安全 策略 。 通 过 前 面 几 音 的 学 习 认识 到 了 网 
络 安全 中 安全 策略 的 重要 性 。 关 键 的 问题 是 如 何 通 过 防火 墙 来 实施 这 些 策略 。 
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2) 创建 一 个 阻塞 点 

防火 墙 在 一 个 公司 私有 网 络 和 子 网 间 建 立 一 个 检查 点 。 这 种 实现 要 求 所 有 的 流量 
都 要 通过 这 个 检查 点 。 一 旦 这 些 检查 点 建立 后 ,防火 墙 就 可 以 监视 ,过滤 和 检查 所 有 进 
来 和 出 去 的 流量 。 网 络 安全 产业 称 这 些 检查 点 为 “阻塞 点 ”"。 通 过 强制 所 有 进出 流量 都 
通过 这 些 检 查 点 ,网 络 管理 员 可 以 集中 在 一 个 地 方 来 实现 安全 目的 。 如 果 没 有 这 样 一 个 
供 监视 和 控制 信息 的 检查 点 ,系统 或 安全 管理 员 则 要 在 很 多 地 方 来 进行 监测 。 检 查 点 的 
另 一 个 名 字 叫 做 “网 络 边界 ”。 

3) 记录 Internet 活动 

防火 墙 还 能 够 强制 日 志 记录 ,并 且 提 供 警 报 功能 。 通 过 在 防火 墙 上 实现 日 志 服务 ， 
安全 管理 员 可 以 监视 所 有 从 外 部 网 或 互联 网 的 访问 。 一 个 好 的 日 志 策 略 是 实现 适当 网 
络 安全 的 有 效 工 具 之 一 。 防 火 墙 对 于 管理 员 进 行 日 志 存档 提供 了 更 多 的 信息 。 

4) 限制 网 络 暴露 

防火 墙 在 用 户 的 网 络 周围 创建 了 一 个 保护 的 边界 ,并 且 对 于 公 网 隐藏 了 用 户 内 部 系 
统 的 一 些 信息 以 增加 保密 性 。 当 远程 结 点 试图 侦 测 用 户 的 网 络 时 ,他 们 仅仅 能 看 到 防火 
墙 ,远程 设备 将 不 会 知道 用 户 内 部 网 络 的 布局 以 及 存放 的 信息 。 防 火 墙 利用 提高 认证 功 
能 和 对 网 络 加 密 来 限制 网 络 信息 的 暴露 。 通 过 对 所 有 流量 的 检查 ,限制 从 外 部 发 动 的 
攻击 。 

3. 基本 术语 


1) 网 关 (gateway) 
网 关 是 在 两 台 设备 之 间 提 供 转发 服务 的 系统 。 网 关 的 范围 可 以 从 互联 网 应 用 程序 
如 公共 网 关 接口 (CGD 到 在 两 台 主机 间 处 理 流 量 的 防火 墙 网 关 。 这 个 术语 是 非常 常见 
的 ,而 且 可 用 于 一 个 防火 墙 组 件 里 ,在 两 个 不 同 的 网 络 路 由 间 处 理 数据 。 
2) 电路 级 网 关 (circuit level gateway) 
电路 级 网 关 用 来 监控 受信 任 的 客户 或 服务 器 与 不 受信 任 的 主机 间 的 TCP 握手 信 
息 ,这 样 来 决定 该 会 话 是 否 合法 .电路 级 网 关 是 在 OSI 模型 中 会 话 层 上 来 过 滤 数据 包 。 
另外 ,电路 级 网 关 还 提供 一 个 重要 的 安全 功能 ,网 络 地 址 翻译 (NAT) 将 所 有 公司 内 部 的 
IP 地 址 映射 到 一 个 “安全 "的 IP 地 址 ,这 个 地 址 是 由 防火 墙 使 用 的 。 有 两 种 方法 来 实现 
这 种 类 型 的 网 关 , 一 种 是 由 一 台 主 机 充当 筛选 路 由 器 而 另 一 台 充 当 应 用 级 防火 墙 ; 另 一 
种 是 在 第 一 个 防火 墙 主机 和 第 二 个 防火 墙 主机 之 间 建 立 安全 的 连接 。 
3) 应 用 级 网 关 (application level gateway) 
应 用 级 网 关 可 以 工作 在 OSI 的 7 层 模 型 的 任 一 层 上 ,能 够 检查 进出 的 数据 包 , 通 过 
网 关 复 制 传递 数据 ,防止 在 受信 任 服务 器 和 客户 机 与 不 受信 任 的 主机 间 直 接 建立 联系 。 
用 级 网 关 能 够 理解 应 用 层 上 的 协议 ,能够 做 一 些 复杂 的 访问 控制 。 
4) 堡 合 主机 (bastion host) 
堡 拿 主 机 应 是 在 Internet 高 度 暴露 的 ,也 是 网 络 中 最 容易 受到 侵入 的 主机 。 堡 又 主 
机 也 就 是 防火 墙 体系 中 的 大 无 且 者 ,其 目的 是 把 敌人 的 火力 吸引 到 自己 身上 ,从 而 达到 
保护 其 他 主机 的 目的 。 堡 又 主机 的 设计 思想 就 是 检查 点 原则 ,把 整个 网 络 的 安全 问题 集 
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中 在 某 个 主机 上 解决 ,从 而 省 时 省 力 ,不 用 考虑 其 他 主机 的 安全 。 通 常情 况 下 ,堡垒 主机 
上 和 运行 一 些 通用 的 网 络 操作 系统 ,并 存放 一 些 不 重要 或 已 过 期 的 机 密 文件 。 

5) 双 宿 主机 (dual homed host) 

现代 的 防火 墙 系统 大 多 是 双 宿 主机 , 即 有 两 个 网 络 接口 的 计算 机 系统 ,其 中 一 个 接 
口 连接 内 部 网 , 另 一 个 接口 连接 外 部 网 。 有 的 防火 墙 是 多 宿主 机 ,有 3 个 或 多 个 网 络 接 
口 , 可 以 连接 多 个 网 络 , 实 现 多 个 网 络 之 间 的 访问 控制 。 

6) 数据 包 过 滤 (package filter ring) 

一 些 设备 ,如 路 由 器 、 网 关 或 双 宿 主机 ,可 以 有 选择 地 控制 网 络 上 往来 的 数据 流 。 当 
数据 包 要 经 过 这 些 设备 时 ,这 些 设 备 可 以 检查 IP 数据 包 的 相应 选项 ,根据 既定 的 规则 来 
决定 是 否 允 许 数 据 包 通 过 。 

7) 屏蔽 路 由 器 (screened router) 

屏蔽 路 由 器 也 叫 过 滤 路 由 器 ,是 一 种 可 以 根据 过 滤 原 则 对 数据 包 进行 阻塞 和 转发 的 
路 由 器 ,现在 有 很 多 路 由 器 都 具备 包 过 滤 的 功能 。 

8) 屏蔽 主机 (screened host) 

被 放置 到 屏蔽 路 巾 器 后 面 网 络 上 的 主机 称 为 屏蔽 主机 ,该 主机 能 被 访问 的 程度 取决 
于 路 由 器 的 屏蔽 规则 。 

屏 项 子 网 指 位 于 屏蔽 路 由 器 后 面 的 子 网 , 子 网 能 被 访问 的 程度 取决 于 屏蔽 规则 。 

9) 代理 服务 器 (proxy server) 

代理 服务 器 就 像 中 间 人 ,是 一 种 代表 客户 和 服务 器 通信 的 程序 ,一 般 在 应 用 层 实现 。 
典型 的 代理 接受 用 户 的 请 求 , 然 后 根据 事先 定义 好 的 规则 ,决定 用 户 或 用 户 的 IP 地 址 是 
否 有 权 使 用 代理 服务 器 ,然后 代表 客户 建立 一 个 与 服务 器 之 间 的 连接 。 

10) IP 地 址 欺骗 (IP spoofing) 

这 是 一 种 黑客 的 攻击 形式 ,黑客 使 用 一 台 机 器 上 网 ,而 借用 另 一 台 机 器 的 IP 地 址 ， 
从 而 冒充 另 一 台 机 器 与 服务 器 打交道 。 防 火 墙 可 以 识别 这 种 IP 地 址 欺骗 。 

11) 隧道 路 由 器 (tunneling router) 

它 是 一 种 特殊 的 路 由 器 ,可 以 对 数据 包 进 行 加 密 , 让 数据 能 通过 非 信 任 网 ,如 Internet， 
然后 在 另 一 端 用 同样 的 路 由 器 进行 解密 。 

12) 虚拟 专用 网 (Virtual Private Network,VPN) 

一 种 连接 两 个 远程 局 域 网 的 方式 ,连接 要 通过 非 信任 网 ,如 Internet, 所 以 一 般 通 过 
隧道 路 由 器 或 VPN 网 关 来 实现 互联 。 

13) DNS 欺骗 (DNS spoofing) 

通过 破坏 被 攻击 主机 上 的 域名 服务 器 的 缓存 ,或 破坏 一 个 域名 服务 器 来 伪造 IP 地 址 和 
主机 名 的 映射 ,从 而 冒充 其 他 机 器 。DNS 欺骗 现在 也 是 黑客 攻击 服务 器 的 常用 手段 。 

14) Internet 控制 报 文 协议 (ICMP) 

ICMP 的 全 称 是 Internet Control Message Protocol( 网 间 报 文 控制 协议 ) , 它 是 IP 不 
可 分 割 的 一 部 分 ,用 来 提供 错误 报告 。 一 旦 发 现 各 种 错误 类 型 就 将 其 返回 原 主机 ,最 常 
见 的 ping 命令 就 是 基于 ICMP 的 。ICMP 的 统计 信息 包含 收发 的 各 种 类 型 的 ICMP 报 
文 的 计数 以 及 收发 错误 报 文 的 计数 。 
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15) 纵深 防御 (defense in depth) 

一 种 确保 网 络 尽 可 能 安全 的 安全 措施 ,一 般 与 防火 墙 联合 使 用 。 

16) 最 小 特权 (least privilege) 

在 运行 和 维护 系统 中 , 尽 可 能 地 减少 用 户 的 特权 ,但 同时 也 要 使 用 户 有 足够 的 权限 
来 做 事 , 这 样 就 会 减少 特权 被 滥用 的 机 会 。 内 部 人 员 滥 用 特权 很 可 能 在 防火 墙 上 打开 一 
个 安全 缺口 ,这 是 很 危险 的 ,很 多 的 入 侵 是 由 此 引发 的 。 

17) 网 络 地 址 翻译 (NAT) 

网 络 地 址 解释 是 对 Internet 隐藏 内 部 地 址 ,防止 内 部 地 址 公开 。 这 一 功能 可 以 克服 
IP 寻 址 方式 的 诸多 限制 ,完善 内 部 寻 址 模式 。 把 未 注册 IP 地 址 映射 成 合法 地 址 ,就 可 以 
对 Internet 进行 访问 。NAT 的 另 一 个 名 字 是 IP 地 址 隐藏 。RFC1918 概述 了 地 址 并 且 
IANA 建议 使 用 内 部 地 址 机 制 , 以 下 地 址 作为 保留 地 址 。 

10. 0. 0.0~10. 255. 255. 255 (A 类 保留 地 址 ) 

172. 16. 0.0~172. 31. 255. 255 (B 类 保留 地 址 ) 

192. 168. 0.0 一 192. 168. 255. 255 《〈C 类 保留 地 址 ) 

如 果 用 户 选择 上 述 列表 中 的 网 络 地 址 ,不 需要 向 任何 互联 网 授权 机 构 注 册 即 可 使 
用 。 使 用 这 些 网 络 地 址 的 一 个 好 处 就 是 在 互联 网 上 永远 不 会 被 路 由 。 互 联网 上 所 有 的 
路 由 器 发 现 源 或 目标 地 址 含有 这 些 私有 网 络 ID 时 都 会 自动 丢弃 。 

18) 非 军事 化 区 域 (DMZ) 

DMZ 是 一 个 小 型 网 络 ,存在 于 公司 的 内 部 网 络 和 外 部 网 络 之 间 。 这 个 网 络 由 筛选 
路 由 器 建立 ,有 时 是 一 个 阻塞 路 由 器 。DMZ 用 来 作为 一 个 额外 的 缓冲 区 以 进一步 隔离 
公 网 和 用 户 的 内 部 私有 网 络 。DMZ 另 一 个 名 字 叫 做 Service Network, 因 为 它 非常 方便 。 
这 种 实施 的 缺点 在 于 存在 于 DMZ 区 域 的 任何 服务 都 不 会 得 到 防火 墙 的 安全 保护 。 

19) 筛选 路 由 器 (sieve router) 

筛选 路 由 器 的 另 一 个 术语 就 是 包 过 滤 路 由 器 , 它 至 少 有 一 个 接口 是 连 向 公 网 的 ,对 
进出 内 部 网 络 的 所 有 信息 进行 分 析 , 并 按照 一 定 的 安全 策略 一 一 信息 过 滤 规 则 对 进出 内 
部 网 络 的 信息 进行 限制 ,允许 授权 信息 通过 ,拒绝 非 授权 信息 。 信 息 过 滤 规则 是 以 其 所 
收 到 的 数据 包头 信息 为 基础 的 。 采 用 这 种 技术 的 防火 墙 优点 在 于 速度 快 、 实 现 方便 ,但 
安全 性 能 差 , 且 由 于 不 同 操作 系统 环境 下 TCP 和 UDP 端口 号 所 代表 的 应 用 服务 协议 类 
型 有 所 不 同 , 故 兼 容 性 差 。 

20) 阻塞 路 由 器 

阻塞 路 申 器 也 叫 内 部 路 由 器 ,用 以 保护 内 部 的 网 络 ,使 之 免 受 Internet 和 周边 网 的 
侵犯 。 阻 塞 路 由 器 为 用 户 的 防火 墙 执行 大 部 分 的 数据 包 过 滤 工 作 。 它 允许 从 内 部 网 络 
到 Internet 的 有 选择 的 出 站 服务 。 内 部 路 由 器 所 允许 的 在 堡 圣 主 机 和 用 户 内 部 网 之 间 
服务 可 以 不 同 于 内 部 路 由 器 所 允许 的 在 Internet 和 用 户 内 部 网 之 间 的 服务 。 限 制 堡 全 
主机 和 内 部 网 之 间 服 务 的 理由 是 减少 由 此 而 导致 来 自 堡垒 主机 侵袭 的 机 器 的 数量 。 


4. 防火 墙 的 特性 
大 多 数 防火 墙 系统 具有 包 过 滤 、 电 路 级 网 关 和 应 用 级 网 关 的 功能 。 它 们 检查 单独 的 数 
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据 包 或 整个 信息 包 , 然 后 利用 事先 订 制 的 规则 来 强制 安全 策略 。 只 有 那些 可 接受 的 数据 包 
才能 进出 整个 网 络 。 当 用 户 实施 一 个 防火 墙 策 略 时 ,这 3 种 防火 墙 类 型 可 能 都 需要 。 更 高 
级 的 防火 墙 提供 额外 的 功能 可 以 增强 网 络 的 安全 性 ,每 个 防火 墙 都 应 该 实施 日 志 记录 。 

1) 认证 

防火 墙 是 一 个 合理 的 放置 提供 认证 方法 来 避 开 特定 的 IP 包 。 用 户 可 以 要 求 一 个 防 
火 墙 令 牌 (firewall token) ,或 反 向 查询 一 个 IP 地 址 。 反 向 查询 可 以 检查 用 户 是 否 真正 地 
来 自 它 所 报告 的 源 位 置 。 这 种 技术 有 效 地 反击 IP 欺骗 的 攻击 。 防 火 墙 还 允许 终端 用 户 
认证 。 应 用 级 网 关 或 代理 服务 器 可 以 工作 在 TCP/IP 的 每 一 层 上 。 多 数 的 代理 服务 器 
提供 完整 的 用 户 账号 数据 库 。 结 合 使 用 这 些 用 户 账号 数据 库 和 代理 服务 器 自 定义 的 选 
项 来 进行 认证 。 代 理 服务 器 还 可 以 利用 这 些 账 号 数据 库 来 提供 更 详细 的 日 志 。 

2) 日 志和 警报 

为 了 不 降低 网 络 性 能 和 效率 ,在 默认 配置 下 , 包 过 滤 及 筛选 路 由 器 是 不 进行 日 志 记 
录 的 ,更 为 重要 的 是 ,防火 墙 并 不 能 对 所 有 事件 创建 日 志 。 和 筛选 路 由 器 只 能 记录 一 些 最 
基本 的 信息 ,而 电路 级 网 关 也 只 能 记录 少量 的 信息 。 因 为 用 户 要 在 防火 墙 上 创建 一 个 阻 
塞 点 ,潜在 的 黑客 必须 要 先 穿 过 它 。 如 果 用 户 放置 全 面 记 录 日 志 的 设备 并 在 防火 墙 本 身 
实现 这 种 技术 ,那么 有 可 能 捕获 到 所 有 用 户 的 活动 。 可 以 确切 地 知道 黑客 在 做 什么 并 得 
到 这 些 活动 信息 用 于 审计 。 一 些 防 火 墙 允许 用 户 预 先 配 置 对 不 期 望 的 活动 做 出 响应 。 
防火 墙 两 种 最 普通 的 活动 是 中 断 TCP/IP 连接 和 自动 发 出 警告 。 


812 防火 墙 的 目的 和 作用 


1. 构建 网 络 防火 墙 的 主要 目的 


。 控制 访问 者 进入 一 个 被 严格 控制 的 点 。 
。 防 止 进攻 者 接近 防御 设备 。 
”控制 内 部 人 员 从 一 个 特别 控制 点 离开 。 
"检查 .筛选 .过 滤 和 屏蔽 信息 流 中 的 有 害 信息 ,防止 对 计算 机 和 计算 机 网 络 进行 恶 
意 破坏 。 
防火 墙 的 目的 在 于 实现 安全 访问 控制 ,在 OSI 体系 结构 中 ,防火 墙 可 以 在 OSI 中 了 7 
层 模型 中 的 第 5 层 设置 。 一 般 的 防火 墙 模型 如 图 8-1 所 示 。 
OSVRM 防火 墙 
应 用 层 同 关 级 
表示 层 
会 话 层 
传输 层 电路 级 
网 络 层 | 路 由 器 级 
数据 链 路 层 | 网 桥 级 
物理 层 。 | 中 断 器 级 
| 安全 区 域 防火 墙 系统 | . 非 安全 区 域 | 


图 8-1 防火 墙 与 OSI 模型 
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2. 网 络 防火 墙 的 主要 作用 


防火 墙 是 一 种 非常 有 效 的 网 络 安全 模型 ,通过 它 可 以 隔离 内 外 网 络 , 以 达到 网 络 中 
安全 区 域 的 连接 ,同时 不 妨碍 人 们 对 风险 区 域 的 访问 。 监 控 出 和 网络 的 信息 , 仅 让 安全 
的 ,符合 规则 的 信息 进入 内 部 网 络 ,为 网 络 用 户 提供 一 个 安全 的 网 络 环境 。 其 主要 作用 
如 下 : 

。 有 效 收集 和 记录 Internet 上 活动 和 网 络 误 用 情况 。 

能 有 效 隔离 网 络 中 的 多 个 网 段 ,能 有 效 地 过 滤 、 筛 选 和 屏蔽 一 切 有 害 的 信息 和 
服务 。 

防火 墙 就 像 一 个 能 发 现 不 良 现象 的 警察 ,能 执行 和 强化 网 络 的 安全 策略 。 

。 保证 对 主机 的 安全 访问 。 

。 保证 多 种 客户 机 和 服务 器 的 安全 性 。 

保护 关键 部 门 不 受到 来 自 内 部 的 攻击 和 外 部 的 攻击 ,为 通过 Internet 与 远程 访问 
的 雇员 、 客 户 、 供 应 商 提供 安全 通道 。 


3. 防火 墙 的 特性 


防火 墙 系统 具有 以 下 几 方 面 的 特性 。 

。 所 有 在 内 部 网 络 和 外 部 网 络 之 间 传输 的 数据 都 必须 通过 防火 墙 。 

。 只 有 被 授权 的 合法 数据 , 即 防火 墙 系统 中 安全 策略 允许 的 数据 ,可 以 通过 防火 墙 。 
。 防火墙 本 身 可 以 经 受 住 各 种 攻击 。 

使 用 目前 新 的 信息 安全 技术 。 比 如 现代 密码 技术 一 次 口令 系统 及 智能 卡 等 。 
人 机 界面 友好 ,配置 使 用 方便 , 易 管 理 。 系 统管 理 员 可 以 方便 地 对 防火 墙 进行 设 
置 , 对 Internet 的 访问 者 、 被 访问 者 ,访问 协议 以 及 访问 方式 进行 控制 。 
广泛 的 服务 支持 。 通 过 将 动态 的 、 应 用 层 的 过 滤 能 力 和 认证 相 结 合 ,可 实现 WWW 
浏览 器 .HTTP 服务 器 和 FTP 等 。 

对 私有 数据 的 加 密 支 持 。 保 证 通过 Internet 进行 虚拟 私人 网 络 和 商务 活动 不 受 
损坏 。 

客户 端 认 证 。 只 允许 指定 的 用 户 访问 内 部 网 络 或 选择 服务 ,是 企业 本 地 网 与 分 支 
机 构 、 商 业 伙 伴 和 移动 用 户 间 安全 通信 的 附加 部 分 。 

反 欺 骗 。 欺 骗 是 从 外 部 获取 网 络 访问 权 的 常用 手段 ,防火墙 能 监视 这 样 的 数据 包 
并 能 扔 掉 它们 ;C/S 模式 和 跨 平 台 支 持 ,能 使 运行 在 另 一 平台 的 管理 模块 控制 运 
行 在 另 一 平台 的 监视 模块 。 
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. 防火墙 的 发 展 历史 


第 1 代 防 火 墙 技 术 几 乎 与 路 由 器 同时 出 现 ,采用 了 包 过 滤 (packet filter) 技 术 。1989 
年 ,贝尔 实验 室 的 Dave Presotto 和 Howard Trickey 推出 了 第 2 代 防 火 墙 , 即 电 路 层 防 
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火 墙 ,同时 提出 了 第 3 代 防 火 墙 一 一 应 用 层 防火 墙 (代理 防火 墙 ) 的 初步 结构 。1992 年 ， 
USC 信息 科学 院 的 BobBraden 开发 出 了 基于 动态 包 过 滤 (dynamic packet filter) 技 术 的 
第 4 代 防 火 墙 ,后 来 演变 为 目前 所 说 的 状态 监视 (stateful inspection) 技 术 。1994 年 ,以 
色 列 的 CheckPoint 公司 开发 出 了 第 一 个 采用 这 种 技术 的 商业 化 的 产品 。 第 5 代 防 火 墙 
是 在 1998 年 推出 的 ,NAI 公司 推出 了 一 种 自 适应 代理 (adaptive proxy) 技 术 , 并 在 其 产 
品 Gauntlet Firewall for NT 中 得 以 实现 ,给 代理 类 型 的 防火 墙 赋予 了 全 新 的 意义 。 高 级 
应 用 代理 (advanced application proxy) 的 研究 ,克服 速度 和 安全 性 之 间 的 矛盾 ,可 以 称 之 
为 第 5 代 防 火 墙 。 


2. 防火 墙 的 发 展 趋势 


今后 ,防火 墙 将 朝 下 列 技术 和 方向 发 展 : 

动态 包 过 滤 ; 内 核 透明 代理 ;用 户 强 认证 机 制 ;加 密 技术 ;智能 日 志 、 审 计 跟 踪 和 实时 
报警 ;内 容 和 策略 感知 能 力 ;内 部 信息 隐藏 技术 ;提高 防火 墙 产品 的 集成 性 和 采用 分 布 式 
管理 ,加 强 防火 墙 之 间 的 交互 操作 性 。 


82 防火 墙 的 类 型 


821 包 过 滤 防 火 墙 


1. 包 过 滤 型 防火 墙 的 基本 功能 


包 过 滤 型 防火 墙 (packet filter firewall) 的 包 过 滤器 安装 在 路 由 器 上 ,工作 在 网 络 层 
(IP) ,因此 也 称 为 网 络 层 防 火 墙 。 它 基于 单个 包 实 施 网 络 控制 ,根据 所 收 到 数据 包 的 源 
地 址 \ 目 的 地 址 、 源 端口 号 及 目的 端口 号 、 包 出 入 接口 .协议 类 型 和 数据 包 中 的 各 种 标志 
位 等 参数 ,与 用 户 预 定 的 访问 控制 表 进 行 比较 ,判定 数据 是 否 符合 预先 制定 的 安全 策略 ， 
决定 数据 包 的 转发 或 丢弃 , 即 实施 信息 的 过 滤 。 它 实际 上 是 控制 内 部 网 络 上 的 主机 可 直 
接 访问 外 部 网 络 ,而 外 部 网 络 上 的 主机 对 内 部 网 络 的 访问 则 要 受到 限制 。 

这 种 防火 墙 的 优点 是 简单 方便、 速度 快 ,透明 性 好 ,对 网 络 性 能 影响 不 大 ,但 它 缺 乏 用 
户 日 志 (log) 和 审计 信息 (audit) ,缺乏 用 户 认证 机 制 ,不 具备 登录 和 报告 性 能 ,不 能 进行 审核 
管理 ,上 且 过 滤 规 则 的 完备 性 难以 得 到 检验 ,过 滤 规 则 复杂 难以 管理 ,因此 安全 性 较 差 。 


2. 包 过 滤 防 火 墙 的 优 缺 点 


1) 优点 

防火 墙 对 每 条 传人 和 传 出 网 络 的 包 实 行 控制 。 

每 个 IP 包 的 字段 都 被 检查 ,例如 源 地址 .目的 地 址 .协议 和 端口 等 。 防 火 墙 将 基于 
这 些 信 息 应 用 过 滤 规 则 。 

防火 墙 可 以 识别 和 丢弃 带 欺 骗 性 源 IP 地 址 的 包 。 

包 过 滤 防 火 墙 是 两 个 网 络 之 间 访 问 的 唯一 来 源 。 因 为 所 有 的 通信 必须 通过 防火 墙 ， 
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绕 过 是 困难 的 。 

包 过 滤 通 常 被 包含 在 路 由 器 数据 包 中 ,所 以 不 必 额 外 的 系统 来 处 理 这 个 特征 。 

2) 缺点 

配置 困难 。 因 为 包 过 滤 防 火 墙 很 复杂 .人们 经 常会 忽略 建立 一 些 必 要 的 规则 ,或 者 错 
误 配 置 了 已 有 的 规则 ,在 防火 墙 上 留 下 漏洞 。 然 而 ,在 市 场 上 ,许多 新 版 本 的 防火 墙 对 这 个 
缺点 正在 作 改 进 , 如 开发 者 实现 了 基于 图 形 化 用 户 界面 (GUI) 的 配置 和 更 直接 的 规则 定义 。 

为 特定 服务 开放 的 端口 存在 着 危险 ,可 能 会 被 用 于 其 他 传输 。 例 如 , Web 服务 器 默 
认 端 口 为 80 ,而 计算 机 上 又 安装 了 RealPlayer, 那 么 它 会 搜寻 可 以 允许 连接 到 RealAudio 
服务 器 的 端口 ,而 不 管 这 个 端口 是 否 被 其 他 协议 所 使 用 ,RealPlayer 正好 是 使 用 80 端口 
而 搜寻 的 。 就 这 样 ,RealPlayer 无 意 中 利 用 了 Web 服务 器 的 端口 。 

“ 包 过 滤 ” 技 术 是 用 关键 词 进行 “ 包 内 容 ” 的 检查 和 过 滤 的 ,因此 ,对 于 “图 片 ”信息 , 防 
火 墙 是 不 能 对 其 内 容 进行 过滤? 检查 的 。 

攻击 者 绕 过 防火 墙 进入 网 络 ,例如 拨号 连接 。 换 句 话说 ,防火 墙 是 不 能 阻止 对 于 * 绕 
道 而 行进 入 网 络 的 攻击 的 。 


822 代理 服务 器 


1. 代理 服务 器 防火 墙 的 基本 功能 


代理 服务 器 防火 墙 (proxy service firewallD) 通 过 在 主机 上 运行 代理 服务 程序 ,直接 对 
特定 的 应 用 层 进行 服务 ,因此 也 称 为 应 用 层 防火 墙 。 其 核心 是 运用 防火 墙 主机 上 的 代理 
服务 器 进程 ,代理 网 络 用 户 完成 TCP/IP 功能 ,实际 上 是 为 特定 网 络 应 用 而 连接 两 个 网 
络 的 网 关 , 且 对 不 同 的 应 用 (如 E-mail、.FTP、Telnet 和 WWW 等 ) 都 应 用 一 个 不 同 的 代 
理 。 代 理 服 务 可 以 实施 用 户 认证 .详细 日 志 、 审 计 跟 踪 数据 加 密 等 功能 和 对 具体 协议 及 
应 用 的 过 滤 ,如 阻止 Java 或 Java Script 程序 的 运行 。 

应 用 程序 代理 防火 墙 实际 上 并 不 允许 在 它 连接 的 网 络 之 间 直 接 通 信 。 它 只 接受 来 
自 内 部 网 络 特定 用 户 应 用 程序 的 通信 ,然后 建立 于 公共 网 络 服务 器 单独 的 连接 。 网 络 内 
部 的 用 户 不 直接 与 外 部 的 服务 器 通信 ,所 以 服务 器 不 能 直接 访问 内 部 网 的 任何 一 部 分 。 

另外 ,如 果 不 为 特定 的 应 用 程序 安装 代理 程序 代码 ,这 种 服务 是 不 会 被 支持 的 ,不 能 
建立 任何 连接 。 这 种 建立 方式 拒绝 任何 没有 明确 配置 的 连接 ,从 而 提供 了 额外 的 安全 性 
和 控制 性 。 

应 用 程序 代理 防火 墙 可 以 配置 成 允许 来 自 内 部 网 络 的 任何 连接 , 它 也 可 以 配置 成 要 
求 用 户 认证 后 才 建 立 连接 。 要 求 认证 的 方式 由 只 为 已 知 的 用 户 建立 连接 的 这 种 限制 ,为 
安全 性 提供 了 额外 的 保证 。 如 果 网 络 受 到 危害 ,这 个 特征 使 得 从 内 部 发 动 攻 击 的 可 能 性 
大 大 减少 。 


2. 代理 防火 墙 的 优 缺 点 


1) 优点 
指定 对 连接 的 控制 ,例如 允许 或 拒绝 基于 服务 器 IP 地 址 的 访问 ,允许 或 拒绝 基于 用 
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户 所 请 求 连接 的 IP 地 址 的 访问 。 

通过 限制 某 些 协议 的 传输 请 求 ,以 减少 网 络 中 不 必要 的 服务 。 

大 多 数 代理 防火 墙 能 够 记录 所 有 的 连接 ,包括 地 址 和 持续 时 间 。 这 些 信 息 对 追踪 攻 
击 和 发 生 的 未 授权 访问 的 事件 是 很 有 用 的 。 

2) 缺点 

必须 在 一 定 范围 内 定制 用 户 系统 ,这 取决 于 所 用 的 应 用 程序 。 

一 些 应 用 程序 不 支持 代理 连接 。 


823 电路 层 网 关 


电路 层 网 关 (circuit gateway) 在 网 络 的 传输 层 上 实施 访问 策略 ,是 在 内 ,外 网 络 主机 
之 间 建 立 一 个 虚拟 电路 进行 通信 ,相当 于 在 防火 墙 上 直接 开 了 个 口子 进行 传输 ,不 像 应 
用 层 防 火 墙 那样 能 严密 控制 应 用 层 的 信息 。 

电路 级 网 关 用 来 监控 受信 任 的 客户 或 服务 器 与 不 受信 任 的 主机 间 的 TCP 握手 信 
息 , 这 样 来 决定 该 会 话 (session) 是 否 合法 ,电路 级 网 关 是 在 OSI 模型 中 会 话 层 上 来 过 滤 
数据 包 的 。 

实际 上 ,电路 级 网 关 并 非 作为 一 个 独立 的 产品 存在 , 它 通常 与 其 他 的 应 用 级 网 关 结 
合 在 一 起 ,如 TrustInformationSystems 公司 的 GauntletInternetFirewall; DEC 公司 的 
AltaVistaFirewall 等 产品 。 另 外 ,电路 级 网 关 还 提供 一 个 重要 的 安全 功能 ,代理 服务 器 
(proxy server) ,代理 服务 器 是 在 其 上 运行 一 个 叫做 “地 址 转移 ”的 进程 ,将 所 有 内 部 IP 地 
址 映射 到 一 个 外 部 IP 地 址 ,这 个 地 址 是 由 防火 墙 使 用 的 。 但 是 ,作为 电路 级 网 关 也 存在 
着 一 些 缺陷 ,因为 该 网 关 是 在 会 话 层 工作 的 ,无 法 检查 应 用 层级 的 数据 包 。 


824 混合 型 防火 墙 


混合 型 防火 墙 Chybrid firewall) 是 把 过 滤 和 代理 服务 等 功能 结合 起 来 ,形成 新 的 防火 
墙 ,所 用 主机 称 为 堡 全 主机 ,负责 代理 服务 。 

混合 型 防火 墙 采用 的 技术 如 下 : 

， 动 态 包 过 滤 。 

。 内 核 透明 技术 。 

。 用 户 认证 机 制 。 

。 内 容 和 策略 感知 能 力 。 

。 内 部 信息 隐藏。 

。 智能 日 志 、 审 计 和 实时 报警 。 

。 防火 墙 的 交互 操作 性 。 

。 各 种 安全 技术 的 有 机 结合 


825 应 用 级 网 关 
应 用 级 网 关 (application gateway) 使 用 专用 软件 来 转发 和 过 滤 特 定 的 应 用 服务 ,如 
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Telnet、FTP 等 服务 连接 。 

应 用 级 网 关 能 够 检查 进出 的 数据 包 , 通 过 网 关 复 制 传 递 数据 ,防止 在 受信 任 服务 器 
和 客户 机 与 不 受信 任 的 主机 间 直 接 建 立 联系 。 应 用 级 网 关 能 够 理解 应 用 层 上 的 协议 ,能 
够 做 一 些 复杂 的 访问 控制 。 但 每 一 种 协议 需要 相应 的 代理 软件 ,使 用 时 工作 量 大 ,效率 
不 如 网 络 级 防火 墙 。 

常用 的 应 用 级 防火 墙 已 有 了 相应 的 代理 服务 ,例如 HTTP、NNTP、FTP、 Telnet、 
Rlogin 和 X-Window 等 ,但 是 ,对 于 新 开发 的 应 用 , 尚 没有 相应 的 代理 服务 ,它们 将 通过 
网 络 级 防火 墙 和 一 般 的 代理 服务 。 

应 用 级 网 关 有 较 好 的 访问 控制 ,是 目前 最 安全 的 防火 墙 技术 ,但 实现 困难 ,而 且 有 的 
应 用 级 网 关 缺 乏 * 透 明度 "。 在 实际 使 用 中 ,用 户 在 受信 任 的 网 络 上 通过 防火 墙 访问 
Internet 时 ,经 常会 发 现存 在 延迟 并 且 必 须 进 行 多 次 登录 (login) 才 能 访问 Internet 或 


Intranet 。 
826 状态 动态 检测 防火 墙 
1. 状态 /动态 检测 防火 墙 的 基本 功能 


状态 /动态 检测 防火 墙 ,试图 跟踪 通过 防火 墙 的 网 络 连接 和 包 , 这 样 防火 墙 就 可 以 使 
用 一 组 附加 的 标准 ,以 确定 是 否 允 许 或 拒绝 通信 。 这 一 目标 是 在 使 用 了 基本 包 过 滤 防 火 
墙 的 通信 上 应 用 一 些 技术 实现 的 。 

包 过 滤 防 火 墙 对 一 个 数据 包 是 允许 还 是 拒绝 ,完全 取决 于 包 自 身 所 包含 的 内 容 ,如 
源 地 址 .目的 地 址 和 端口 号 等 。 如 果 数 据 包 中 没有 包含 任何 描述 它 在 信息 流 中 的 位 置 的 
信息 , 则 认为 该 包 是 无 状态 的 ,一 个 状态 包 检查 防火 墙 跟 踪 的 包 中 必须 包含 所 需 的 信息 。 

一 个 状态 /动态 检测 防火 墙 可 截断 所 有 传人 的 通信 ,而 允许 所 有 传 出 的 通信 。 只 有 
按 要求 传 人 的 数据 被 允许 通过 ,直到 连接 被 关闭 为 止 ,而 未 被 请 求 的 传人 通信 被 截断 。 

状态 /动态 检测 防火 墙 可 提供 的 额外 服务 如 下 : 
。 将 某 些 类 型 的 连接 重 定向 到 审核 服务 中 去 。 例 如 ,专用 Web 服务 器 的 连接 ,在 
Web 服务 器 连接 被 允许 之 前 ,可 能 被 发 到 SecutID 服务 器 (用 一 次 性 口令 来 使 
用 ) 。 

。 拒绝 携带 某 些 数据 的 网 络 通信 , 如 带 有 附加 可 执行 程序 的 传人 电子 消息 ,或 包含 
ActiveX 程序 的 Web 页 面 。 

跟踪 连接 状态 的 方式 取决 于 包 通 过 防火 墙 的 类 型 。 

。 TCP 包 。 当 建立 起 一 个 TCP 连接 时 ,通过 的 第 一 个 包 被 标 有 包 的 SYN 标志 。 
通常 情况 下 ,防火 墙 丢弃 所 有 外 部 的 连接 企图 ,除非 已 经 建立 起 某 条 特定 规则 来 
处 理 。 

UDP 包 。UDP 包 比 TCP 包 简单 ,因为 它们 不 包含 任何 连接 或 序列 信息 。 它 们 
只 包含 源 地 址 、 目 的 地 址 、 校 验 码 和 携带 的 数据 。 这 种 信息 的 缺乏 使 得 防火 墙 确 
定 包 的 合法 性 很 困难 ,因为 没有 打开 的 连接 可 利用 ,以 测试 传 入 的 包 是 否 应 被 允 
许 通过 。 对 传人 的 包 , 若 它 所 使 用 的 地 址 和 UDP 包 携 带 的 协议 与 传 出 的 连接 请 
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求 匹配 ,该 包 就 被 允许 通过 。 防 火 墙 能 跟踪 传 出 的 请 求 , 并 详细 记录 下 所 使 用 的 
地 址 、 协 议和 包 的 类 型 ,然后 对 照 保存 过 的 信息 核对 传人 的 包 , 以 确保 这 些 包 是 被 
请 求 的 。 


2. 状态 /动态 检测 防火 墙 的 优 缺 点 


1) 优点 
。 具有 检查 IP 包 的 每 个 字段 的 能 力 , 并 遵从 基于 包 中 信息 的 过 滤 规 则 。 
。 具 有 识别 带 有 欺骗 性 源 IP 地 址 包 的 能 力 。 
。 包 过 滤 防 火 墙 是 两 个 网 络 之 间 访 问 的 唯一 来 源 。 因 为 所 有 的 通信 必须 通过 防火 
墙 , 绕 过 是 困难 的 。 
基于 应 用 程序 信息 验证 一 个 包 的 状态 的 能 力 , 例 如 基于 一 个 已 经 建立 的 FTP 连 
接 , 允 许 返 回 的 FTP 包 通 过 。 
基于 应 用 程序 信息 验证 一 个 包 状 态 的 能 力 , 例 如 允许 一 个 先前 认证 过 的 连接 继续 
与 被 授予 的 服务 通信 。 
记录 有 关 通 过 的 每 个 包 的 详细 信息 的 能 力 。 基 本 上 ,防火 墙 用 来 确定 包 状态 的 所 
有 信息 都 可 以 被 记录 ,包括 应 用 程序 对 包 的 请 求 , 连 接 的 持续 时 间 , 内 部 和 外 部 系 
统 所 做 的 连接 请 求 等 。 

2) 缺点 

状态 /动态 检测 防火 墙 唯一 的 缺点 就 是 所 有 这 些 记 录 、 测 试 和 分 析 工 作 可 能 会 造成 
网 络 连接 的 某 种 迟滞 ,特别 是 在 同时 有 许多 连接 激活 的 时 候 , 或 者 是 有 大 量 的 过 滤 网 络 
通信 的 规则 存在 时 。 特 别 是 ,硬件 速度 越 快 ,这 个 问题 就 越 不 易 察觉 ,而 且 防 火 墙 的 制造 
商 一 直 致 力 于 提高 他 们 产品 的 速度 。 


827 网 络 地 址 翻译 


1. NAT 的 基本 功能 


网 络 地 址 翻译 (Netware Address Translation,NAT) 协 议 是 将 内 部 网 络 的 多 个 IP 地 
址 转换 到 一 个 公共 IP 地 址 与 Internet 连接 。 

当 内 部 用 户 与 一 个 公共 主机 通信 时 ,NAT 能 追踪 是 哪 一 个 用 户 所 发 出 的 请 求 ,修改 
传 出 的 包 , 这 样 包 就 像 是 来 自 单一 的 公共 IP 地 址 ,然后 再 打开 连接 。 一 旦 建立 了 连接 ， 
在 内 部 计算 机 和 Web 站 点 之 间 来 回流 动 的 通信 就 都 是 透明 的 。 

当 从 公共 网 络 传 来 一 个 未 经 请 求 的 连接 时 ,NAT 有 一 套 规则 来 决定 如 何 处 理 它 。 
如 果 没 有 事先 定义 好 的 规则 ,NAT 可 丢弃 所 有 未 经 请 求 的 传人 连接 ,就 像 包 过 滤 防 火 墙 
所 做 的 那样 。 


2. 地 址 翻译 技术 


1) 静态 翻译 
一 个 指定 的 内 部 主机 有 一 个 固定 不 变 的 地 址 翻译 表 , 通 过 这 张 表 ,可 将 内 部 地 址 翻 
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译 成 防火 墙 的 外 网 接口 地 址 。 

2) 动态 翻译 

为 了 隐藏 内 部 主机 的 身份 或 扩展 内 部 网 络 的 地 址 空间 ,一 个 大 的 Internet 客户 群 共 
享 一 组 较 小 的 Internet IP 地 址 。 

3) 负载 平衡 翻译 

一 个 IP 地 址 和 端口 被 翻译 为 同等 配置 的 多 个 服务 器 , 当 请 求 到 达 时 ,防火 墙 将 按照 
一 个 算法 来 平衡 所 有 连接 到 内 部 的 服务 器 ,这 样 向 一 个 合法 IP 地 址 请 求 , 实 际 上 是 有 多 
台 服 务 器 在 提供 服务 。 

4) 网 络 宛 余 翻 译 

多 个 Internet 连接 被 附加 在 一 个 NAT 防火 墙 上 ,而 这 个 防火 墙根 据 负载 和 可 用 性 
对 这 些 连 接 进行 选择 和 使 用 。 


3. NAT 的 优 缺 点 


1) 优点 

所 有 内 部 的 IP 地 址 对 外 面 的 人 来 说 是 隐蔽 的 。 因 为 这 个 原因 ,网 络 之 外 没有 人 可 
以 通过 指定 IP 地 址 的 方式 直接 对 网 络 内 的 任何 一 台 特 定 的 计算 机 发 起 攻击 。 

如 果 因为 某 种 原因 公共 IP 地 址 资源 比较 短缺 的 话 ,NAT 可 以 使 整个 内 部 网 络 共享 
一 个 IP 地 址 。 

可 以 启用 基本 的 包 过 滤 防 火 墙 安 全 机 制 , 因 为 所 有 传 入 的 包 如 果 没 有 专门 指定 配置 
到 NAT, 那 么 就 会 被 丢弃 。 内 部 网 络 的 计算 机 就 不 可 能 直接 访问 外 部 网 络 。 

2) 缺点 

NAT 的 缺点 和 包 过 滤 防 火 墙 的 缺点 是 一 样 的。 虽然 可 以 保障 内 部 网 络 的 安全 ,但 
它 也 有 一 定 的 局 限 性 。 而 且 内 网 可 以 利用 流传 较 广 的 木马 程序 ,可 以 通过 NAT 做 外 部 
连接 ,就 像 穿 过 包 过 滤 防 火 墙 一 样 容易 。 


828 个 人 防火 墙 


1. 个 人 防火 墙 的 基本 功能 


个 人 防火 墙 是 一 种 能 够 保护 个 人 计算 机 系统 的 安全 软件 , 它 可 以 直接 在 用 户 的 计算 
机 上 运行 ,使 用 与 状态 /动态 检测 防火 墙 相同 的 方式 来 保护 计算 机 免 受 攻击 。 个 人 防火 
墙 是 安装 在 计算 机 网 络 接口 的 较 低级 别 上 ,用 以 监视 传人 传 出 网 卡 的 所 有 网 络 通信 。 

一 旦 安装 上 个 人 防火 墙 ,就 可 以 把 它 设置 成 “学 习 模 式 ”, 这 样 的 话 , 对 遇 到 的 每 一 种 
新 的 网 络 通信 ,个 人 防火 墙 都 会 提示 用 户 一 次 ,询问 如 何 处 理 这 种 通信 。 然 后 个 人 防火 
墙 便 记 住 响应 方式 ,并 应 用 于 以 后 遇 到 的 相同 网 络 通信 。 

例如 ,如 果 用 户 已 经 安装 了 一 台 个 人 Web 服务 器 ,个 人 防火 墙 可 能 将 第 一 个 传 入 的 
Web 连接 作 上 标志 ,并 询问 用 户 是 否 允 许 它 通过 。 用 户 可 能 允许 所 有 的 Web 连接 、 来 自 
某 些 特定 IP 地 址 范围 的 连接 等 ,个 人 防火 墙 然后 把 这 条 规则 应 用 于 所 有 传人 的 Web 
连接 。 
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2. 个 人 防火 墙 的 优 缺 点 


1) 优点 

增加 了 保护 级 别 , 不 需要 额外 的 硬件 资源 。 个 人 防火 墙 除了 可 以 抵挡 外 来 攻击 的 同 
时 ,还 可 以 抵挡 内 部 的 攻击 。 

2) 缺点 

个 人 防火 墙 主要 的 缺点 就 是 对 公共 网 络 只 有 一 个 物理 接口 。 真 正 的 防火 墙 应 当 监 
视 并 控制 两 个 或 更 多 的 网 络 接口 之 间 的 通信 。 这 样 一 来 ,个 人 防火 墙 本 身 容 易 受 到 威 
胁 , 或 者 说 是 具有 这 样 一 个 弱点 ,网 络 通信 可 以 绕 过 防火 墙 的 规则 进行 。 


829 智能 防火 墙 


智能 防火 墙 从 技术 特征 上 看 ,是 利用 统计 、` 记 忆 、 概 率 和 决策 的 智能 方法 来 对 数据 进 
行 识别 ,并 达到 访问 控制 的 目的 。 

一 个 典型 的 例子 可 以 说 明智 能 防火 墙 对 网 络 安全 是 很 重要 的 。 传 统 的 防火 墙 对 包 
的 检查 ,就 像 对 人 的 相貌 的 识别 ,采用 图 像 识 别 一 样 。 把 一 个 人 的 相貌 转换 为 图 像 ,对 图 
像 的 每 一 个 像素 进行 记忆 ,然后 进行 匹配 检查 。 通 过 检查 上 千 万 个 像素 之 后 ,告诉 你 ,这 
是 谁 ,这 就 是 智能 识别 。 智 能 防火 墙 无 须 海量 计算 就 可 以 轻松 找到 网 络 行为 的 特征 值 来 
识别 网 络 行为 ,从 而 轻松 的 执行 访问 控制 。 


1. 智能 防火 墙 的 关键 技术 


1) 防 攻击 技术 

智能 防火 墙 能 智能 识别 恶意 数据 流量 ,并 有 效 地 阻 断 恶意 数据 攻击 。 智 能 防火 墙 可 以 
有 效 地 解决 SYN Flooding、 Land Attack、UDP Flooding、 Fraggle Attack、 Ping Flooding、 
Smurf、Ping of Death 及 Unreachable Host 等 攻击 。 防 攻击 技术 还 可 以 有 效 的 切断 恶意 病毒 
或 木马 的 流量 攻击 。 

2) 防 扫 描 技术 

智能 防火 墙 能 智能 识别 黑客 的 恶意 扫描 ,并 有 效 地 阻 断 或 欺骗 恶意 扫描 者 。 对 目前 
已 知 的 扫描 工具 如 ISS、SSS 和 NMAP 等 扫描 工具 ,智能 防火 墙 可 以 防止 被 扫描 。 防 扫 
描 技术 还 可 以 有 效 地 解决 代表 或 恶意 代码 的 恶意 扫描 攻击 。 

3) 防 欺骗 技术 

智能 防火 墙 提供 基于 MAC 的 访问 控制 机 制 , 可 以 防止 MAC 欺骗 和 IP 欺骗 ,支持 
MAC 过 滤 ,支持 IP 过 滤 。 将 防火 墙 的 访问 控制 扩展 到 OSI 的 第 2 层 。 

4) 入 侵 防 御 技术 

智能 防火 墙 为 了 解决 准许 放行 包 的 安全 性 ,对 准许 放行 的 数据 进行 人 侵 检 测 , 并 提 
供 入 侵 防 御 保 护 。 入 侵 防 御 技术 采用 了 多 种 检测 技术 ,特征 检测 可 以 准确 检测 已 知 的 攻 
击 , 特 征 库 涵盖 了 目前 流行 的 网 络 攻击 ;异常 检测 基于 对 监控 网 络 的 自学 习 能 力 ,可 以 有 
效 地 检测 新 出 现 的 攻击 ;检测 引擎 中 还 集成 了 针对 缓冲 区 溢出 等 特定 攻击 的 检测 。 智 能 
防火 墙 完成 了 深层 数据 包 监 控 , 并 能 阻 断 应 用 层 攻击 。 
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5) 包 擦洗 和 协议 正常 化 技术 

智能 防火 墙 支持 包 擦洗 技术 ,对 IP、TCP、UDP 和 ICMP 等 协议 的 擦洗 ,实现 协议 的 
正常 化 ,消除 潜在 的 协议 风险 和 攻击 。 这 些 方法 对 消除 TCP/IP 协议 的 缺陷 和 应 用 协议 
的 漏洞 所 带 来 的 威胁 ,效果 显著 。 


2. 智能 防火 墙 的 功能 和 特点 


智能 防火 墙 成 功 地 解决 了 普遍 存在 的 拒绝 服务 攻击 的 问题 病毒 传播 的 问题 和 高 级 
应 用 入 侵 的 行为 ,代表 着 防火 墙 的 主流 发 展 方向 。 新 一 代 的 智能 防火 墙 自 身 的 安全 性 较 
传统 的 防火 墙 有 很 大 的 提高 ,在 特权 最 小 化 .系统 最 小 化 ,内 核 安全 .系统 加 固 , 系 统 优化 
和 网 络 性 能 最 大 化 方面 ,与 传统 防火 墙 相 比 , 有 质 的 飞跃 。 

智能 防火 墙 执行 全 访问 的 访问 控制 策略 ,而 不 是 简单 的 过 滤 。 基 于 对 行为 的 识别 ， 
可 以 根据 什么 人 、 什 么 时 间 、 什 么 地 点 、 什 么 行为 来 执行 访问 控制 ,大 大 增强 了 防火 墙 的 
安全 性 ,使 其 更 加 聪明 和 智能 。 

智能 防火 墙 具备 集中 网 络 管理 平台 ,具备 配置 管理 .性 能 管理 故障 管理 .安全 管理 
和 审计 管理 5 大 管理 域 。 

智能 防火 墙 提供 网 络 实时 监控 功能 。 支 持 监控 防火 墙 的 性 能 ,如 CPU 内存 .网络 和 
硬盘 的 使 用 率 等 信息 。 支 持 监控 防火 墙 的 状态 ,并 实时 报警 。 支 持 实 时 监控 ,包括 性 能 
监控 ,接口 流量 监控 等 。 

智能 防火 墙 提供 对 日 志 的 监控 ,自动 处 理 `. 人 工 或 自动 导出 、 数 据 库 导入 \ 查 看 、 查 
询 .显示 和 报警 等 功能 ,并 支持 条 件 查询 。 


3. 智能 防火 墙 的 典型 应 用 


除 传 统 防火 墙 的 应 用 外 ,智能 防火 墙 还 有 以 下 特殊 应 用 场合 。 

保护 网 络 和 站 点 免 受 黑客 的 攻击 。 由 于 目前 众多 的 防火 墙 无 法 抵御 DDoS 的 攻击 ， 
使 得 网 站 和 网 络 频繁 遭受 黑客 的 攻击 。 采 用 智能 防火 墙 , 可 以 有 效 解决 DDoS 攻击 。 

阻 断 病毒 的 恶意 传播 。 智 能 防火 墙 可 以 智能 识别 病毒 的 恶意 扫描 和 流量 攻击 ,有 效 
切断 恶意 病毒 的 传播 途径 。 巾 于 智能 防火 墙 是 从 流量 异常 来 判断 病毒 的 传播 ,避免 了 每 
一 次 新 病毒 的 爆发 所 带 来 的 灾难 。 

有 效 监控 和 管理 内 部 局 域 网 。 传 统 的 防火 墙 只 防 外 不 防 内 ,导致 内 部 局 域 网 速度 
慢 , 恶 意 病毒 和 木马 盛行 。 智 能 防火 墙 的 防 欺骗 功能 和 MAC 控制 功能 ,能 有 效 发 现 内 部 
恶意 流量 ,帮助 安全 管理 员 来 找到 攻击 源 。 

保护 必需 的 应 用 安全 。 智 能 防火 墙 的 入 侵 防 护 功能 ,深层 的 应 用 数据 检测 可 以 有 效 
的 发 现 对 应 用 的 恶意 攻击 ,并 加 以 制止 。 

提供 强大 的 身份 认证 授权 和 审计 管理 。 对 优化 进行 身份 鉴别 授权 和 审计 ,是 网 络 安 
全 的 要 素 之 一 ,基于 人 而 不 是 IP 进行 管理 ,更 能 有 效 的 进行 网 络 安全 管理 ,也 为 网 络 取 
证 提供 防 抵赖 的 功能 。 
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83 防火 墙 的 到 计 与 实现 


831 防火 墙 的 设计 技术 


为 了 网 络 的 安全 可 靠 , 防 火 墙 必须 满足 以 下 设计 要 求 。 
。 防火 墙 应 由 多 个 构件 组 成 ,形成 一 个 有 一 定 宛 余 度 的 安全 系统 ,避免 成 为 网 络 的 
防火 墙 应 能 抵抗 网 络 黑客 的 攻击 ,并 可 对 网 络 通信 进行 监控 和 审计 。 
防火 墙 一旦 失效 、 系 统 重启 或 系统 崩溃 时 , 则 应 完全 阻 断 内 、 外 网 络 站 点 的 连接 ， 
以 防 非法 用 户 冯 入 。 
防火 墙 应 提供 强制 认证 服务 ,外 部 网 络 站 点 对 内 部 网 络 的 访问 应 经 过 防火 墙 的 认证 
检查 ,包括 对 网 络 用 户 和 数据 源 的 认证 。 应 支持 Email、.FTP、Telnet 和 WWW 等 
服务 。 
防火 墙 对 内 部 网 络 应 做 到 屏蔽 作用 ,并 且 隐 藏 内 部 网 站 的 地 址 和 内 部 网 络 的 拓扑 
结构 。 

在 防火 墙 设计 中 ,安全 策略 是 防火 墙 的 灵魂 和 基础 。 通 常 ,防火 墙 采用 的 安全 策略 
有 如 下 两 个 基本 准则 。 

。 一 切 未 被 允许 的 访问 就 是 禁止 的 。 

。 一 切 未 被 禁止 的 访问 就 是 允许 的 。 

建立 防火 墙 是 在 对 网 络 的 服务 功能 和 拓扑 结构 仔细 分 析 的 基础 上 ,在 被 保护 的 网 络 
周边 ,通过 专用 硬件 .软件 及 管理 措施 的 综合 ,对 跨越 网 络 边境 的 信息 ,提供 监测 、 控 制 甚 
至 修改 的 措施 。 


832 防火 墙 的 实现 技术 


1) 决定 防火 墙 的 类 型 与 拓扑 结构 

针对 防火 墙 所 保护 的 系统 安全 级 别 作出 定性 和 定量 评估 ,从 系统 的 成 本 、 安 全 保护 
实现 的 难 易 程度 以 及 升级 改造 和 维护 的 难 易 程度 ,决定 该 防火 墙 的 类 型 和 拓扑 结构 。 

2) 制定 安全 策略 

在 实现 过 程 中 ,没有 被 允许 的 服务 是 被 禁止 的 ,没有 被 禁止 的 服务 都 是 允许 的 。 网 
络 安全 的 第 一 策略 是 拒绝 一 切 未 许可 的 服务 , 即 由 防火 墙 逐 项 删除 未 许可 的 服务 后 ,再 
转发 信息 。 在 此 策略 的 指导 下 ,再 针对 系统 制定 各 项 具体 策略 。 

3) 确定 包 过 滤 规 则 

一 般 以 处 理 IP 数据 包 包 头 信 息 为 基础 ,包括 过 滤 规 则 、 过 滤 方 式 、 源 和 目的 端口 号 
及 协议 类 型 等 , 它 决 定 算法 执行 时 顺序 ,因此 正确 的 排列 顺序 至 关 重 要 。 
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4) 防火 墙 维护 和 管理 方案 的 制定 

防火 墙 的 日 常 维护 是 对 访问 记录 进行 审计 ,发 现 人 侵 和 非法 访问 , 据 此 对 防火 墙 的 
安全 性 进行 评价 ,需要 时 进行 适当 改进 。 管 理工 作 要 根据 拓扑 结构 的 改变 或 安全 策略 的 
变化 ,对 防火 墙 进行 硬件 与 软件 的 修改 和 升级 。 通 过 维护 和 管理 进一步 优化 其 性 能 ,以 
保证 网 络 及 其 信息 的 安全 性 。 
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841 防火 墙 的 安全 性 


防火 墙 是 网 络 上 使 用 最 多 且 最 重要 的 安全 设备 ,是 网 络 安全 的 重要 基石 。 但 防火 墙 
不 是 万 能 的 ,有 一 定 的 缺陷 和 局 限 性 。 正 确认 识 和 使 用 防火 墙 ,确保 网 络 的 安全 使 用 , 研 
究 防火 墙 的 局 限 性 和 脆弱 性 是 十 分 必要 的 。 


I 


. 防火墙 的 脆弱 性 


防火 墙 的 操作 系统 不 能 保证 没有 漏洞 。 

防火 墙 的 硬件 不 能 保证 不 失效 。 所 有 的 硬件 都 有 一 个 生命 周期 ,都 会 老化 ,总 有 
失效 的 一 天 。 

防火 墙 软件 不 能 保证 没有 漏洞 。 防 火 墙 软件 也 是 软件 ,是 软件 就 会 有 漏洞 。 

防火 墙 无 法 解决 TCP/IP 等 协议 的 漏洞 。 防 火 墙 本 身 就 是 基于 TCP/IP 等 协议 
来 实现 的 ,无 法 解决 TCP/IP 本 身 具 有 的 漏洞 。 

防火 墙 无 法 区 分 恶意 命令 还 是 善意 命令 。 有 很 多 命令 对 管理 员 而 言 ,是 一 项 合法 
命令 ,而 在 黑客 手 里 就 可 能 是 一 个 危险 的 命令 。 

防火 墙 无 法 区 分 恶意 流量 和 善意 流量 。 一 个 用 户 使 用 ping 命令 ,可 用 作 网 络 诊 
断 , 也 可 用 作 网 络 攻击 ,在 流量 上 是 没有 差异 的 。 

防火 墙 的 安全 性 与 多 功能 成 反比 。 多 功能 与 防火 墙 的 安全 原则 是 背道而驰 的 。 
因此 ,除非 确信 需要 某 些 功能 ,否则 ,应 将 功能 最 小 化 。 

防火 墙 的 安全 性 和 速度 成 反比 。 防 火 墙 的 安全 性 是 建立 在 对 数据 的 检查 之 上 , 检 
查 越 细 越 安全 ,但 检查 越 细 速 度 越 慢 。 

防火 墙 的 多 功能 与 速度 成 反比 。 防 火 墙 的 功能 越 多 ,对 CPU 和 内 存 的 消耗 越 大 ， 
功能 越 多 ,检查 的 越 多 ,速度 越 慢 。 

防火 墙 无 法 保证 准许 服务 的 安全 性 。 防 火 墙 准许 某 项 服务 , 却 不 能 保证 该 服务 的 
安全 性 。 准 许 服务 的 安全 性 问题 必须 由 应 用 安全 来 解决 。 

限制 有 用 的 网 络 服务 。 防 火 墙 为 了 提高 被 保护 网 络 的 安全 性 ,限制 或 关闭 了 很 多 
有 用 但 存在 安全 缺陷 的 网 络 服务 。 

无 法 防护 内 部 网 络 用 户 的 攻击 。 目 前 防火 墙 只 提供 对 外 部 网 络 用 户 攻击 的 防护 ， 
对 来 自 内 部 网 络 用 户 的 攻击 只 能 依靠 内 部 网 络 主机 系统 的 安全 性 (智能 防火 墙 例 
外 )。 

Internet 防火 墙 无 法 防范 通过 防火 墙 以 外 的 其 他 途径 的 攻击 。 例 如 ,在 一 个 被 保 
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护 的 网 络 上 没有 限制 的 拨号 登录 ,内 部 网 络 上 的 用 户 就 可 以 直接 通过 SLIP 或 
PPP 连接 进入 Internet。 

Internet 防火 墙 不 能 完全 防止 传送 已 感染 病毒 的 软件 或 文件 。 

不 能 防范 新 的 网 络 安全 威胁 。 防 火 墙 是 一 种 被 动 式 的 防护 手段 , 它 只 能 对 已 知 的 
网 络 威胁 起 防护 作用 。 


.防火墙 的 局 限 性 


防火 墙 不 能 防范 不 经 过 防火 墙 的 攻击 。 没有 经 过 防火 墙 的 数据 ,防火 墙 无 法 
检查 。 

防火 墙 不 能 防止 策略 配置 不 当 或 错误 配置 引起 的 安全 威胁 。 防 火 墙 是 一 个 被 动 
的 安全 策略 执行 设备 ,就 像 门卫 一 样 ,要 根据 政策 规定 来 执行 安全 检查 ,而 不 能 自 
作 主 张 。 

防火 墙 不 能 防止 可 接触 的 人 为 或 自然 的 破坏 。 防 火 墙 是 一 个 安全 设备 ,但 防火 墙 
本 身 必 须 存在 于 一 个 安全 的 地 方 。 

防火 墙 不 能 防止 利用 网 络 协议 中 的 缺陷 进行 的 攻击 。 

防火 墙 不 能 防止 利用 服务 器 系统 漏洞 所 进行 的 攻击 。 黑 客 通过 防火 墙 准 许 的 访 
问 端口 对 该 服务 器 的 漏洞 进行 攻击 ,防火 墙 不 能 防止 。 

防火 墙 不 能 防止 数据 驱动 式 的 攻击 。 当 有 些 表面 看 来 无 害 的 数据 邮寄 或 复制 到 
内 部 网 的 主机 上 并 被 执行 时 ,会 导致 数据 驱动 式 的 攻击 。 

防火 墙 不 能 防止 内 部 的 泄密 行为 。 防 火 墙 内 部 的 一 个 合法 用 户主 动 泄密 ,防火 墙 
是 无 能 为 力 的 。 

防火 墙 不 能 防止 本 身 的 安全 漏洞 的 威胁 。 防 火 墙 保护 别人 有 时 却 无 法 保护 自己 ， 
目前 还 没有 厂商 绝对 保证 防火 墙 不 会 存在 安全 漏洞 。 因 此 对 防火 墙 也 必须 提供 
某 种 安全 保护 。 
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PN 


. 用 户 账号 策略 
用 户 账号 应 包含 用 户 的 所 有 信息 。 其 中 最 主要 的 应 包括 用 户 名 、 口 令 . 用 户 所 属 的 


工作 组 ,用户 在 系统 中 的 权限 和 资源 访问 许可 。 


2. 用 户 权 限 策略 
用 户 权 限 策略 用 来 允许 授权 用 户 使 用 系统 资源 。 用 户 权限 一 般 有 两 类 ,第 一 类 是 对 


执行 特定 任务 用 户 的 授权 可 应 用 于 整个 系统 ;第 二 类 是 对 特定 对 象 (如 目录 、 文 件 和 打印 
机 等 ) 的 规定 ,这 些 规定 限制 用 户 能 否 或 以 何 种 方式 存 取 对 象 。 其 中 第 一 类 的 权限 要 高 
于 第 二 类 。 通 常 授予 用 户 的 权限 有 以 下 几 种 : 


。 通过 网 络 连 接 计 算 机 。 
。 备份 文件 和 目录 ,此 权限 要 高 于 文件 和 目录 许可 。 
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设置 计算 机 内 部 系统 时 钟 。 

。 从 计算 机 键盘 登录 计算 机 。 

。 指定 何 种 事件 和 资源 被 审查 ,查看 和 清除 安全 日 志 。 
。 恢复 文件 和 目录 。 

。 关闭 系统 。 

。 获取 一 台 计 算 机 的 文件 .目录 或 是 其 他 对 象 的 所 有 权 。 


3. 信任 关系 策略 


通过 信任 关系 在 网 络 中 建立 域 模型 的 安全 性 。 信 任 关系 是 在 两 个 域 中 ,一 个 域 信任 
另外 的 域 , 它 包括 两 个 方面 ,信任 域 和 被 信任 域 。 信 任 域 可 允许 被 信任 域 中 的 用 户 在 其 
中 使 用 。 两 个 域 信任 关系 的 建立 可 以 允许 一 个 域 中 建立 的 用 户 存 取 整 个 网 络 中 的 资源 。 

1) 单 向 信任 

单 向 信任 只 是 一 个 域 信任 另外 一 个 域 , 如 图 8-2 所 示 。 典 型 的 应 用 就 是 远程 访问 , 它 
们 之 间 并 不 相互 信任 ,远程 用 户 只 可 以 在 被 信任 域 中 使 用 。 

2) 双向 信任 

双向 信任 是 两 个 域 对 等 的 互相 信任 ,如 图 8-3 所 示 ,远程 用 户 可 以 使 用 双方 授权 的 资 
源 。 双 向 连接 的 信任 关系 只 不 过 是 两 个 单 向 信任 关系 ,每 个 域 都 信任 另外 一 个 。 


图 8-2 单 向 信任 关系 图 8-3 双向 信任 关系 
3) 多 信任 


更 复杂 的 是 在 域 间 可 以 建立 多 个 信任 关系 ,如 图 8-4 所 示 。 几 个 域 信任 一 个 域 来 保 
证 用 户 的 统一 管理 ,或 是 一 个 域 信任 几 个 域 来 保证 用 户 延 伸 到 多 个 域 中 ,同时 还 可 提供 


图 8-4 多 重信 任 关 系 


4. 包 过 滤 策 略 


根据 过 滤 规 则 ,来 过 滤 基 于 标准 的 数据 包 , 完 成 包 过 滤 功 能 。 包 过 滤 策 略 如 下 : 
。 包 过 滤 控 制 点 。 

。 包 过 滤 操 作 过 程 。 

。， 包 过 滤 原 则 。 

。 防止 两 类 不 安全 设计 的 措施 。 

。 对 特定 协议 包 的 过 滤 。 
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5. 认证 、 签 名 和 数据 加 密 策略 


目前 可 以 公开 的 加 密 算法 很 多 ,其 中 最 著名 的 传统 加 密 算法 是 DEC、RC4、RC5、RC6 
以 及 现在 准备 替代 DES 的 AES 候选 算法 。 最 著名 的 公开 密 钥 体制 是 RSA 体制 和 
ELGamal 体制 等 。 最 有 名 的 数字 签名 体制 是 RSA 体制 .DSS 体制 .ELGamal 体制 和 椭 
圆 曲 线 体制 等 。 最 有 名 的 消息 认证 体制 是 MD5 和 SHA-1 等 。 

因此 在 加 密 算 法 的 选取 应 从 两 个 方面 人手 ,一 方面 从 这 些 算法 中 选取 3DES 、RC4、 
IDEA RSA 和 MD5 等 算法 作为 系统 的 核心 加 密 算 法 ,保证 系统 符合 国际 标准 ; 另 一 方面 
根据 我 国 的 商业 密码 管理 条 例 , 在 国内 的 重要 部 门 使 用 保密 通信 系统 中 ,必须 使 用 国内 
认可 的 密码 算法 。 


6. 密 钥 管理 策略 


Internet 的 加 密 算法 有 两 个 困难 。 首 先 ,通信 双方 之 间 的 通信 可 能 会 通过 多 个 网 络 ， 
这 些 网 络 通常 具有 不 同 的 安全 机 制 ,有 的 甚至 根本 不 提供 安全 机 制 ,这 就 使 通信 双方 之 
间 建 立 密 钥 的 过 程 更 加 容易 受到 攻击 。 其 次 ,不 同 网 络 的 密 钥 管理 协议 可 能 不 尽 相同 ， 
这 就 导致 用 同样 的 协议 来 建立 异 网 通信 密 钥 和 内 部 通信 密 钥 会 非常 困难 ,增加 了 密 钥 管 
理 机 制 的 复杂 性 ,很 难 实现 密 钥 使 用 上 的 方便 性 。 

从 Internet 应 用 来 看 , 密 钥 管理 方式 应 采用 自动 化 管理 ,特别 是 对 于 密 钥 分 配 而 言 ， 
应 采用 离线 式 密 钥 中 心 方式 。 针 对 Internet 的 层次 结构 , 密 钥 中 心 的 设置 应 具有 相 适 应 
的 层次 。 现 代 密 钥 体系 也 应 采用 层次 结构 ,以 分 为 主 密 钥 、. 密 钥 加 密 密 钥 和 会 话 密 钥 三 
个 层次 为 宜 。 在 密 钥 体制 采用 上 ,将 采用 对 称 密 钥 密码 体制 和 公开 密 钥 密码 体制 相 结 合 
的 方法 ,以 提高 密 钥 分 配 的 效率 。 


7. 审计 策略 


审计 用 来 记录 如 下 事件 。 

。 哪 一 个 用 户 访问 哪 一 个 对 象 。 

。 访问 类 型 。 

。 访问 过 程 是 否 成 功 。 

。 所 有 事件 的 审查 都 保存 在 安全 日 志 中 ,安全 日 志 记录 通过 的 包 和 被 滤 掉 的 包 的 有 
关 信息 。 
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前 面 介绍 了 防火 墙 的 基本 概念 、 体 系 结构 等 ,本 小 节 介绍 防火 墙 的 安全 技术 ,包括 数 
据 包 过 滤 技 术 ,代理 技术 ,状态 检查 技术 和 地 址 翻译 技术 (NAT) 等 。 


1. 数据 包 过 滤 技 术 


1) 数据 包 过 滤 技 术 的 基本 原理 
数据 包 过 滤 技 术 是 防火 墙 最 常用 的 技术 。 对 于 一 个 充满 危险 的 网 络 , 过 滤 路 由 器 提 
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供 了 一 种 方法 ,用 这 种 方法 可 以 阻塞 某 些 主机 和 网 络 连 入 内 部 网 络 , 也 可 以 用 它 来 限制 
内 部 人 员 对 一 些 危 险 和 色情 站 点 的 访问 。 


顾名思义 ,数据 包 过 滤 技术 是 在 网 络 中 适当 的 位 置 对 所 有 数据 包 实 施 过 滤 或 筛选 ， 


只 有 满足 过 滤 规 则 的 数据 包 才 被 转发 至 相应 的 网 络 接口 ,其 余数 据 包 则 从 数据 流 中 
删除 。 


数据 包 过 滤 可 以 控制 站 点 与 站 点 、 站 点 与 网 络 、 网 络 与 网 络 之 间 的 相互 访问 ,但 不 能 


控制 传输 的 数据 内 容 , 因 为 数据 内 容 是 应 用 层 数据 ,不 是 包 过 滤 系 统 所 能 辨认 的 ,数据 包 
过 滤 允 许 在 某 个 地 方 为 整个 网 络 提供 特别 的 保护 。 


包 过 滤 检 查 模块 深入 到 系统 的 网 络 层 和 数据 链 路 层 之 间 。 因 为 数据 链 路 层 是 事实 


上 的 网 卡 (NIC) ,网 络 层 是 第 1 层 协议 堆栈 ,所 以 防火 墙 位 于 软件 层次 的 最 底层 。 


定 。 


包 过 滤 一 般 要 检查 下 面 几 项 。 

。 IP 源 地 址 。 

IP 目标 地 址 。 

协议 类 型 (TCP 包 、UDP 包 和 ICMP 包 )。 

TCP 或 UDP 的 源 端 口 。 

TCP 或 UDP 的 目标 端口 。 

ICMP 消息 类 型 。 

TCP 报头 中 的 ACK 位 。 

包 过 滤 在 本 地 端 接收 数据 包 时 ,一 般 不 保留 上 下 文 , 只 根据 目前 数据 包 的 内 容 做 决 
根据 不 同 的 防火 墙 类 型 , 包 过 滤 可 能 在 进入 或 输出 防火 墙 时 进行 。 可 以 拟定 一 个 要 


接受 的 设备 和 服务 的 清单 ,一 个 不 接受 的 设备 和 服务 的 清单 ,组 成 访问 控制 表 。 


2) 配置 步骤 

。 必须 知道 什么 样 的 包 人 允许 通过 ,什么 样 的 包 不 允许 通过 。 

。 必须 正式 规定 允许 的 包 类 型 . 包 字段 的 逻辑 表达 。 

。 必须 用 防火 墙 支持 的 语法 重 写 表达 式 。 

3) 按 地 址 过 滤 规 则 实例 

例 8-1 该 实例 是 一 个 最 简单 的 数据 包 过 滤 方 式 , 它 按 照 源 地 址 进行 过 滤 。 若 认为 


网 络 210. 40. 8. 0 是 一 个 危险 的 网 络 , 那 么 就 可 以 用 源 地 址 过 滤 禁 止 内 部 主机 和 该 网 络 
进行 通信 。 表 8-1 是 根据 这 种 策略 所 制定 的 规则 。 


表 8-1 包 过 滤 规 则 表 


规 则 方 向 源 地 址 目标 地址 动 作 
A 出 内 部 网 络 210. 40. 8.0 拒绝 
入 210. 40. 8.0 内 部 网 络 拒绝 


4) 按 服务 过 滤 规 则 实例 
例 8-2 设 安全 策略 是 禁止 外 部 主机 访问 内 部 的 E-mail 服务 器 CSMTP, 端 口 25) ,人 允 


许 内 部 主机 访问 外 部 主机 ,实现 这 种 的 过 滤 的 访问 控制 规则 如 表 8-2 所 示 。 
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表 8-2 服务 过 滤 规 则 表 


规则 | 方向 | 动作 源 地 址 源 端口 目的 地 址 目的 端口 注 释 
A 进 拒绝 M * E-mail 25 不 信任 

出 允许 # # ¥* # 允许 连接 

Cc 双向 拒绝 关 * * 关 默认 状态 


规则 按 从 前 到 后 的 顺序 匹配 ,字段 中 的 “ * ”代表 任意 值 ,没有 被 过 滤器 规则 明确 允 
许 的 包 将 被 拒绝 。 就 是 说 ,每 一 条 规则 集 都 跟随 一 条 含蓄 的 规则 ,就 像 表 8-2 中 的 规则 
C。 这 与 一 般 原 则 是 一 致 的 ,没有 明确 “允许 ”的 就 是 被 “禁止 "的 。 

任何 一 种 协议 都 是 建立 在 双方 的 基础 上 的 ,信息 流 也 是 双向 的 。 规 则 总 是 成 对 出 
现 的 。 

5) 包 过 滤 实 例 

例 8-3 第 一 ,假设 一 个 类 网 络 116. 111. 4. 0 ,发现 站 点 202. 208. 5. 6 上 有 黄色 的 
BBS, 所 以 希望 阻止 网 络 中 的 所 有 用 户 访 问 该 点 的 BBS; 再 假设 这 个 站 点 的 BBS 服务 是 
通过 Telnet 方式 提供 的 ,那么 需要 阻止 到 那个 站 点 的 出 站 Telnet 服务 ,对 于 Internet 的 
其 他 站 点 ,允许 内 部 的 网 用 户 通过 Telnet 方式 访问 ,但 不 允许 其 他 站 点 以 Telnet 方式 访 
问 网 络 。 第 二 ,为 了 收发 电子 邮件 ,允许 SMTP 出 站 入 站 服务 ,邮件 服务 器 是 IP 地 址 为 
116.111.4.1。 第 三 ,对 于 WWW 服务 ,允许 内 部 网 用 户 访问 Internet 上 任何 网 络 和 站 
点 ,但 只 允许 一 个 公司 的 网 络 访问 内 部 WWW 服务 器 ,内 部 WWW 服务 器 的 IP 地 址 为 
116. 111. 4. 5, 因 为 是 合作 伙伴 关系 ,并 设 合作 伙伴 网 络 为 98. 120. 8. 0, 如 表 8-3 所 示 。 


表 8-3 包 过 滤 规 则 示例 


规 则 | 方 向 | 源 地 址 目标 地 址 | 协 议 | 源 端口 | 目标 端口 | ACK 设置 | 动 作 
A 出 116.111.4.0 | 202.108.5.6 | TCP | >1023 23 任意 拒绝 
B 人 | 202.108.5.6 | 116.111.4.0 | TCP 23 >1023 是 任意 
C 出 | 116.111.4.0 任意 TCP | >1023 23 任意 允许 
D 入 任意 116.111.4.0 | TCP 23 >1023 是 允许 
E 出 | 116.111.4.1 任意 TCP | >1023 25 任意 允许 
F 起 任意 116.111.4.1 | TCP 25 >1023 是 允许 
G 入 任意 116.111.4.1 | TCP | >1023 25 任意 允许 
H 出 | 116.111.4.1 任意 TCP 25 >1023 任意 允许 
I 出 | 116.111.4.0 任意 TCP | >1023 80 任意 允许 
1 人 任意 116. 111.4.0 | TCP 80 >1023 是 允许 
K 入 98. 120. 8.0 | 116. 111.4.5 | TCP | >1023 80 任意 允许 
和 出 116.111.4.5 | 98.120.8.0 | TCP 80 >1023 任意 允许 
M | 双向 任意 任意 任意 | 任意 任意 任意 拒绝 
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规则 M 是 默认 项 , 它 实现 的 准则 是 “没有 明确 允许 就 表示 禁止 ”。 
2. 代理 技术 


代理 技术 也 称 为 应 用 层 网 关 (application gateway) 技 术 , 代 理 (proxy) 技 术 与 包 过 滤 
技术 完全 不 同 , 包 过 滤 技 术 是 在 网 络 层 拦 截 所 有 的 信息 流 ,代理 技术 是 针对 每 一 个 特定 
应 用 都 有 一 个 程序 。 代 理 是 企图 在 应 用 层 实 现 防 火 墙 的 功能 ,代理 的 主要 特点 是 有 状态 
性 。 代 理 能 提供 部 分 与 传输 有 关 的 状态 ,能 完全 提供 与 应 用 相关 的 状态 和 部 分 传输 方面 
的 信息 ,代理 也 能 处 理 和 管理 信息 。 

提供 代理 服务 的 可 以 是 一 台 双 宿 网 关 , 也 可 以 是 一 台 堡 合 主机 ,允许 用 户 访 问 代理 
服务 是 很 重要 的 ,但 是 用 户 是 绝对 不 允许 注册 到 应 用 层 网 关中 的 。 


3. 电路 级 网 关 技 术 


应 用 层 代理 为 一 种 特定 的 服务 (如 FTP 和 Telnet 等 ) 提 供 代理 服务 ,代理 服务 器 不 
但 转发 流量 而 且 对 应 用 层 协 议 做 出 解释 。 电 路 级 网 关 (circuit level gateway) 也 是 一 种 代 
理 ,但 是 只 能 是 建立 起 一 个 回路 ,对 数据 包 只 起 转发 的 作用 。 电 路 级 网 关 只 依赖 于 TCP 
连接 ,并 不 进行 任何 附加 的 包 处 理 或 过 滤 。 

这 种 代理 的 优点 是 它 可 以 对 各 种 不 同 的 协议 提供 服务 ,但 这 种 代理 需要 改进 客户 程 
序 。 这 种 网 关 对 外 像 一 个 代理 ,而 对 内 则 是 一 个 过 滤 路 由 器 。 


4. 状态 检查 技术 


防火 墙 仅 检查 独立 的 信息 包 是 不 够 的 ,因为 状态 信息 是 控制 新 的 通信 连接 的 最 基本 
的 因素 。 对 于 某 一 通信 连接 ,通信 状态 和 应 用 状态 是 对 该 连接 做 控制 决定 的 关键 因素 。 
因此 为 了 保证 高 层 的 安全 ,防火 墙 必 须 能 够 访问 、 分 析 和 利用 以 下 几 种 信息 : 

。 通信 信息 。 所 有 应 用 层 的 数据 包 的 信息 。 

。 通信 状态 。 以 前 的 通信 状态 信息 。 

。 来 自 应 用 状态 。 其 他 应 用 的 状态 信息 。 

。 信息 处 理 。 基 于 以 上 所 有 元 素 表 达 式 的 估算 。 


5. 地 址 翻译 技术 


网 络 地 址 翻译 (Network Address Translation ,NAT) ,就 是 将 一 个 IP 地 址 用 另 一 个 
IP 地 址 代替 。 尽 管 , 最 初 设计 NAT 的 目的 是 为 了 增加 在 专用 网 络 中 可 使 用 的 IP 地 址 
数 ,但 是 它 有 一 个 隐蔽 的 安全 特性 ,如 内 部 主机 隐蔽 等 .保证 了 网 络 的 安全 性 。 


85 应 用 实例 


851 “天 网 ”软件 防火 墙 的 配置 与 应 用 技术 


软件 防火 墙 又 称 个 人 防火 墙 .主要 用 于 个 人 网 络 终端 个 人 防火 墙 的 主要 优势 在 于 
价 廉 物 美 , 花 很 少 的 钱 就 可 以 购买 一 份 软件 防火 墙 。 
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当前 ,软件 防火 墙 有 天 网 ,瑞星 .金山 .诺顿 和 费 尔 等 产品 。 在 这 里 ,介绍 应 用 较为 广 
泛 的 “天 网 个 人 防火 墙 ”。 

天 网 防火 墙 个 人 版 是 个 人 计算 机 使 用 的 网 络 安全 程序 ,根据 管理 者 设 定 的 安全 规则 
把 守 网 络 ,提供 强大 的 访问 控制 .信息 过 滤 等 功能 ,帮助 用 户 抵挡 网 络 人 侵 和 攻击 ,防止 
信息 泄露 。 天 网 防火 墙 把 网 络 分 为 本 地 网 和 互联 网 ,可 针对 来 自 不 同 网 络 的 信息 ,来 设 
置 不 同 的 安全 方案 ,适合 于 任何 方式 上 网 的 用 户 。 

本 小 节 以 * 天 网 防火 墙 个 人 版 V2. 50" 为 蓝本 ,介绍 天 网 防火 墙 的 安装 .配置 与 应 用 
技术 。 

天 网 防火 墙 个 人 版 由 3 个 可 执行 文件 组 成 。 

。 skynet v2. 50. exe。 防 火 墙 安装 程序 。 

。 使 用 说 明 . txt。 防 火 墙 安装 使 用 说 明文 件 。 

。 天 网 防火 墙 个 人 版 式 V2. 50 破解 程序 . exe。 解 码 程序 。 


1. 软件 安装 

双击 天 网 防火 墙 文件 夹 下 的 skynet v2. 50. exe, 即 开始 安装 ,安装 过 程 根据 屏幕 提示 
进行 。 

2. 防火 墙 设 置 向 导 


防火 墙 软件 安装 完毕 后 ,自动 进入 "设置 向 导 ? 对 话 框 , 单 击 * 下 一 步 "按钮 ,进入 * 安 
全 级 别 设置 "对 话 框 ,如 图 8-5 所 示 。 
天 网 防火 壤 个 人 版 设置 向 导 


安全 级 别 设置 
ES 你 可 以 根据 你 的 实际 使 


用 情 


i 
ee 上 ee 囊 训 蝇 
he ra 


A A 以后 己 设置 规则 ， 注意 ， 


使 用 交 经 的 re Te 


三 我 要 使 用 的 安全 级 别 是 一 一 一 一 一 一 一 一 一 一 一 一 一 
斑 低 全 中 


RN 


图 8-5 安全 级 别 设置 


可 根据 需要 选择 “ 低 ”“ 中 ”“ 高 ”或 ^ 自 定义 ”级 别 ,再 单 击 “ 下 一 步 ” 按 钮 。 进 入 “局 
域 网 信息 设置 "对话 框 ,如 图 8-6 所 示 。 
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天 网 防火 披 个 人 版 设置 向 导 


局 域 网 网 信息 设置 


ee 
了 让 民生 鸯 中 策 用 网 络 报 务 


如 果 你 不 在 局 茂 网 中 ， 清 跷 这 此 步 。 
2 ean 
Tet 
Ei EE 让 


忆 要 乓 中 表 在 局 世 册 丰 术 用 
荐 在 讽 城 网 中 的 地 寺 旦 310 40 2 34 


图 8-6 “局 域 网 信息 设置 "对 话 框 


选择 “我 的 计算 机 在 局 域 网 中 使 用 ”选项 ,系统 自动 将 本 机 的 地 址 填 入 “我 在 局 域 网 
中 的 地 址 是 ”栏目 中 ,车 卫 地 址 没有 填 人 , 则 单 击 * 刷 新” 按钮。 然后 单 击 “ 下 一 步 " 按 钮 ， 
进入 如 图 8-7 所 示 的 窗口 。 


天 由 防火 坟 个 人 版 设置 向 导 


常用 应 用 程序 设置 


indovs 入 作 : 证 条 正当 的 只 纺 程 所 。 你 
3 


EN 
已 经 找到 的 记 许 访问 网 络 的 系统 文件 ; 
日 Services and Controller app 


回 LS4 Erecutable and Server ILL (Export Vereicn) 
上 ER er SubS 
回 ， 


路 径 。 D: \WINDOYS. 0\Systens2\services. aye 


描述 ， windows 2000 操作 系统 的 骤 务 和 控 出 降 原 ， 


图 8-7 “常用 应 用 程序 设置 "窗口 


在 图 8-7 所 示 的 屏幕 中 ,可 进行 应 用 程序 的 设置 。 应 用 程序 设置 完毕 后 , 单 击 “ 下 - 
步 ”按钮 ,之 后 根据 屏幕 提示 操作 即 可 。 


3. 解码 ( 打 补 丁 ) 
软件 安装 完毕 后 ,还 要 进行 解码 , 即 打 补丁 .解码 程序 文件 名 为 天 网 防火 墙 个 人 版 
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[正式 版 ]V2.5 破解 程序 ”。 进 入 “天 网 防火 墙 ”文件 夹 , 如 图 8-8 所 示 。 


回 天 RR 火 墙 we 名 个 人 特别 版 
卫 2s 二 


| 天 PW 火 墙 个 人 版 [正式 版 Y2.50 破解 程 / 关 | 
程序 


图 8-8 天 网 防火 墙 文件 清单 


在 “天 网 防火 墙 文 件 夹 下 选择 “天 网 防火 墙 个 人 版 [正式 版 ]V2. 5 破解 程序 ”, 单 击 
“打开 ”按钮 ,进入 “运行 程序 ”窗口 ,如 图 8-9 所 示 。 


5 其 
打开 名 ): | 防火 墙 个 人 版 [正式 版 ] Y2. 50 三 解 程序 exe” 加 | 


Ce jC wo] 
图 8-9 运行 程序 窗口 


单 击 * 确 定 "按钮 ,得 到 如 图 8-10 所 示 的 对 话 框 。 
在 该 窗口 中 ,首先 单 击 “浏览 ”命令 ,在 SkyNet 文件 夹 下 选择 文件 PFW, 再 单 击 “ 确 
定 ” 按 钮 ,开始 解码 ,解码 完毕 ,得 到 如 图 8-11 所 示 的 窗口 。 


天 网 防火 雯 个 人 版 


| 天 了 火 增 个 人 版 [正式 版] Wo 50 友和 


使 用 方法 
i. 
技术 支持 : 
eeyana163 con 
aa 
回 在 应 月 补 了 前 备份 文件 [扩展 名 .bai 回 在 应 用 补丁 前 备份 立 件 [扩展 名 .hat 
确定 四 ) ET ED 可 


图 8-10 补丁 程序 运行 窗口 图 8-11 解码 完毕 
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单 击 “确定 ”按钮 ,解码 完毕 。 
4. 防火 墙 的 启动 与 配置 


1) 防火 墙 的 启动 

在 Windows 98/2000/XP 桌面 上 , 单 击 * 开 始 ”| 程序"|* 天 网 防火 墙 ?|* 天 网 防火 墙 
个 人 版 ,天 网 防火 墙 个 人 版 即 启动 ,得 到 如 图 8-12 所 示 的 屏幕 。 

2) 防火 墙 的 配置 

(1) 系统 设置 。 

单 击 “ 系 统 设置 "按钮 ,如 图 8-12 所 示 标 注 处 。 


rv 季 统 设置 
系统 忆 
到 三 启动 吉 到 识 定 


| 友 开机 后 目 动 启动 访 火 墙 | 国 ) 


T 应 用 得 厂 权 好 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
| 厂 允许 所 有 的 应 用 程序 访 问 网 如 ,并 在 灿 则 中 记录 这 些 程 序 


局 城 网 地 址 设 定 


局 城 网 地 起 [210 10 2 34 


报 癌 产 证 


文件 rtproeran Farle [RR] [Ee] 


图 8-12 系统 设置 


选中 “开机 自动 启动 防火 墙 ”, 在 该 选项 前 面 将 出 现 一 个 “VV”, 以 后 ,每 次 启动 计算 机 
时 就 会 自动 启动 天 网 防火 墙 。 

(2) 应 用 程序 规则 设置 。 

单 击 “ 应 用 程序 规则 设置 "按钮 ,如 图 8-13 所 示 标 注 处 。 

在 该 对 话 框 中 ,可 对 应 用 程序 访问 权限 进行 设置 。 

(3) 自 定 义 IP 规则 。 

单 击 “ 自 定义 IP 规则 设置 按钮 ,如 图 8-14 所 示 标 注 处 。 

在 此 对 话 框 中 ,可 对 IP 地 址 有 关 规 则 进行 设置 。 


5. 天 网 个 人 防火 墙 的 应 用 


天 网 防火 墙 个 人 版 除了 上 述 的 “应 用 程序 规则 ?“ 自 定义 IP 规则 ”和 “系统 设置 "3 个 
配置 按钮 之 外 ,还 有 “应 用 程序 网 络 使 用 情况 ”、“ 日 志 ” 和 “ 接 通 / 断 开 网 络 ”3 个 应 用 按钮 ， 
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0 
应 用 程序 
期 则 按钮 目送 用 相 库 访问 国 绍 权限 届 天 rw 
onesic Host Process for wm 版 本 :51.2600.0 学 【到 夺 ] 到 
D: WINDONS. 0\Systens2\svehost.exe 。 训 国 
jwiniooon exe 闹 本 :51.26001 交 
pooler SubSystem App 吉本 :5126000 [EF] 
[ee BB [eal | 
| 
LSA Execulable and Server D 左 坟 :51.26001 w | 
加 路 征 :D: WINDOWS. 0\Systens2\1s: 中 
Bervicer end Conuoler epp 。 版 本 5126000 学 (1)] | 
ee: WINDONS. 0\Systens2\services. exe = Ea | 
inteinel Explorer 版 本 :6.00.2600。 w 「 迁 过 
加 ls: Vprogran Files\Internet 4 ea 
加 orerNIEXFLORE. EXE [Ea ™ 


图 8-13 应 用 程序 规则 


白 定 义 IP 
规则 按钮 


耳 烛 网 E23 

庆 许 自己 用 pang 司 所 控 测 其 信 机 照 “IC 
[ 太 计 路由 器 到 可 超时 "的 ICIP 梧 应 EIC 到 
i 


图 8-14 自 定义 IP 规则 


如 图 8-15 所 示 。 

单 击 “ 应 用 程序 使 用 情况 ”按钮 ,可 查看 应 用 程序 访问 本 机 的 记录 情况 ; 单 击 “ 日 志 
按钮 ,可 查看 防火 墙 的 工作 日 志 ; 单 击 “ 接 通 / 断 开 网 络 ” 按 钮 ,可 将 本 机 与 ;网 络 重新 连接 
或 断 开 。 


第 人 六 了 大 十 技术 
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应 用 程序 网 络 
使 用 情况 辽 乌 


接 通 / 断 开 网 络 


局 动 规则 设 定 
克 开机 后 自动 局 动 防火 看 | [到 | 


ES 


局 城内 地址 设 定 - 


厂 光 许 所 有 的 频 用 程序 访问 网 络 ,并 在 烧 则 中 记录 这 业 程 序 


已 城 隐 地址 [zi0 50 2 3 


三 报警 声音 - 


CR CR 
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图 8-15 应 用 按钮 示意 图 
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1. 静态 包 过 滤 防 火 墙 的 基本 功能 


静态 包 过 滤 防 火 墙 工 作 在 TCP/IP 协议 的 IP 层 , 其 工作 流程 如 图 8-16 所 示 。 


静态 包 过 滤 防 火 墙 的 主要 功能 是 ,依据 事先 设 定 
的 过 滤 规 则 ,检查 数据 流 中 每 个 数据 包 。 根 据 数据 包 
中 的 源 地 址 .目标 地 址 、 端 口号 .数据 的 对 话 协议 和 数 
据 包头 中 的 各 种 标志 位 等 因素 来 确定 是 否 让 该 数据 
静态 包 过 滤 防 火 墙 的 具体 过 滤 内 容 如 下 : 
。 数 据 包 协议 类 型 。 如 TCP、UDP、ICMP 和 
IGMP 等 ; 
源 IP 地 址 。 
目的 IP 地址 。 
源 端口 。FTP、HTTP、DNS 和 E-mail 等 。 
目的 端口 。FTP、HTTP、DNS 和 E-mail 等 。 
TCP 信号 选项 : SYN、ACK FIN 和 RST 等 。 
数据 包 流 向 。in 或 out。 
数据 包 流 经 的 网 络 接 口 。eth0 .ethl 。 


5. 应 用 层 
4.TCP 层 


3.IP 层 [站 过 滤 、Port 过 滤 、NAT 
2. 数据 链 路 吧 二 
1. 物理 层 


输入 数据 流 。 输出 数据 流 
图 8-16 ”静态 包 过 淖 防 火 墙 工作 流程 


其 他 协议 选项 。ICMP ECHO ICMP ECHO REPLY 等 。 
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2. 静态 包 过 滤 防 火 墙 的 配置 实例 


例 8-4 设 内 部 网 络 IP 地 址 及 其 端口 号 为 192. 168. 0. 0/24 ,防火 墙 内 部 网 卡 ethl 
的 地 址 为 192. 168. 0. 1 ,防火 墙 的 外 部 网 卡 地 址 为 10. 11. 12. 13 ,DNS 地 址 为 10. 11. 15. 4， 
其 配置 规则 如 下 : 

。 允许 内 部 网 络 的 所 有 主机 都 能 访问 外 网 的 WWW( 端 口号 为 80) .FTP( 端 口号 为 

21) 服 务 。 

。 外 部 网 络 的 所 有 主机 不 能 访问 内 部 网 络 。 

该 规则 配置 如 下 (eth0 为 防火 墙 外 部 网 络 接口 网 卡 ) 。 

set internal 一 192. 168. 0. 0/24 

deny ip from $ internal to any in via eth0 

deny ip from not $ internal to any in via ethl 

allow udp from $ internal to any dns 

allow udp from any dns to $ internal 

allow tcp from any to any established 

allow tcp from $ internal to any www in via ethl 

allow tcp from $ unternal to any ftp in via ethl 

allow tcp from any ftp-data to $ Internal in via eth0 


allow ip from any to any 
853 状态 监测 防火 墙 的 配置 技术 
1. 状态 监测 防火 墙 的 基本 功能 


静态 包 过 滤 防 火 墙 的 过 滤 技 术 的 一 个 致命 缺陷 在 于 : 为 了 能 实现 期 望 的 通信 ,防火 
墙 必 须 保持 部 分 端口 永久 性 地 开放 ,这 就 给 攻击 防火 墙 留 下 了 安全 隐患 。 为 了 能 有 效 地 
避免 和 克服 这 一 缺陷 ,引入 了 动态 包 过 滤 技 术 ,动态 包 过 滤 防 火 墙 也 随 之 问世 。 

动态 包 过 滤 技 术 的 主要 特点 是 ,能 在 数据 包 通过 打开 的 端口 到 达 目 的 地 后 ,防火 墙 
能 及 时 关闭 相应 的 端口 。 

状态 包 过 滤 技 术 则 是 在 动态 包 过 滤 技 术 的 基础 上 发 展 起 来 的 ,是 对 动态 包 过 滤 技 术 
的 扩展 和 增强 。 主 要 体现 如 下 : 

状态 包 过 滤 技 术 采 用 了 一 个 被 称 之 为 “监测 模块 的 “软件 引擎 ”软件 引擎 的 网 络 安 
全 策略 是 在 网 关上 执行 的 ) ,该 监测 模块 工作 在 数据 链 路 层 和 网 络 层 之 间 , 它 可 对 网 络 通 
信 中 各 层 实 施 监 测 分 析 , 提 取 相关 的 通信 和 状态 信息 .并 在 动态 连接 表 中 进行 状态 及 上 
下 文 信息 的 存储 和 更 新 ,这 些 动 态 连接 表 会 被 不 断 地 修改 和 更 新 ,为 下 一 个 通信 检查 积 
累 数据 。 

状态 包 过 滤 技 术 的 主要 优点 在 于 : 能 够 为 基于 无 连接 协议 的 应 用 及 基于 端口 动态 分 
配 的 协议 提供 安全 支持 ,而 静态 包 过 滤 技 术 和 代理 网 关 是 不 支持 这 类 服务 的 。 

总 体 来 说 ,状态 包 过 滤 技 术 减 少 了 端口 的 开放 时 间 ,提供 了 对 绝 大 多 数 服务 的 支持 ， 
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其 缺陷 是 允许 外 部 主机 和 内 部 主机 直接 连接 ,也 不 能 提供 用 户 鉴 别 机 制 。 
状态 包 过 滤 防 火 墙 的 工作 流程 如 图 8-17 所 示 。 


了 应 用 层 | 建 拔 保 竺 
2. 状态 监测 防火 墙 的 配置 实例 4.TCP 层 状态 检查 
例 8-5 ” 设 内 部 网 络 JP 地址 及 其 端口 号 为 192.168.0， | 是 
0/24, 防 火 墙 内 部 网 卡 ethl 的 地 址 为 192. 168. 0.1, 防 火 墙 、| 数 提 甸 路 层 
的 外 部 网 卡 地 址 为 10. 11. 12. 13,DNS 地 址 为 10. 11. 15. 4， 物理 层 
其 配置 规则 如 下 : 苯 入 数据 流 。 输出 数据 帝 


。 允许 内 部 网 络 的 所 有 主机 都 能 访问 外 网 的 WWW 图 8-17 状态 监测 防火 
(端口 号 为 80) .FTP( 端 口号 为 21) 服 务 。 墙 工作 流程 图 


。 外 部 网 络 的 所 有 主机 不 能 访问 内 部 网 络 。 

该 规则 配置 如 下 : 

set internal 一 192. 168. 0. 0/24 

deny ip from $ internal to any in via eth0 

deny ip from not $ internal to any in via ethl 
allow $ internal access any dns by udp keep state 
allow $ internal access any www by tcp keep state 
allow $ internal access any ftp by tcp keep state 


allow ip from any to any 


习 题 8 


. 什么 是 防火 墙 ? 

. 防火 墙 的 基本 任务 是 什么 ? 

. 什么 是 电路 级 网 关 ? 

. 什么 是 堡垒 主机 ? 

.Internet 的 保留 地 址 有 哪些 ? 

. 网 络 防火 墙 的 主要 目的 是 什么 ? 
. 个 人 防火 墙 的 基本 功能 是 什么 ? 
.防火墙 采 用 的 安全 策略 是 什么 ? 


oo Dao rr- 
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911 入 侵 检测 的 基本 原理 概述 


1. 入 侵 检测 产品 的 现状 


入 侵 检测 系统 IDS(Intrusion Detect System) 分 为 两 种 ,主机 入 侵 检 测 系统 (HIDS) 
和 网 络 人 侵 检测 系统 (NIDS)。 主 机 入侵 检测 系统 分 析 对 象 为 主机 审计 日 志 , 所 以 需要 
在 主机 上 安装 入 侵 检测 软件 ,针对 不 同 的 系统 、 不 同 的 版 本 需 安装 不 同 的 主机 引擎 ,安装 
配置 较为 复杂 ,同时 对 系统 的 运行 和 稳定 性 造成 影响 ,目前 在 国内 应 用 较 少 。 网 络 入 侵 
监测 分 析 对 象 为 网 络 数据 流 , 只 需 安装 在 网 络 的 监听 端口 上 ,对 网 络 的 运行 无 任何 影响 ， 
目前 国内 使 用 较为 广泛 。 本 章 介绍 的 是 当前 广泛 使 用 的 网 络 人 侵 检测 系统 。 


2. 入 侵 检测 系统 的 作用 


我 们 知道 ,防火墙 是 Internet 网 络 上 最 有 效 的 安全 保护 屏障 ,防火 墙 在 网 络 安全 中 
起 到 大 门 警 卫 的 作用 ,对 进出 的 数据 依照 预先 设 定 的 规则 进行 匹配 ,符合 规则 的 就 子 以 
放行 ,起 到 访问 控制 的 作用 ,是 网 络 安全 的 第 一 道 闸 门 。 但 防火 墙 的 功能 也 有 局 限 性 , 防 
火 墙 只 能 对 进出 网 络 的 数据 进行 分 析 , 对 网 络 内 部 发 生 的 事件 完全 无 能 为 力 。 

同时 ,由 于 防火 墙 处 于 网 关 的 位 置 , 不 可 能 对 进出 攻击 作 太 多 判断 ,否则 会 严重 影响 
网 络 性 能 。 如 果 把 防火 墙 比 作 大 门 警卫 的 话 , 入 侵 检测 就 是 网 络 中 不 间断 的 摄像 机 ,入 
侵 检 测 通过 旁 路 监听 的 方式 不 间断 的 收取 网 络 数据 ,对 网 络 的 运行 和 性 能 无 任何 影响 ， 
同时 判断 其 中 是 否 含有 攻击 的 企图 ,通过 各 种 手段 向 管理 员 报 警 。 

入侵 检测 系统 IDS 是 主动 保护 自己 免 受 攻击 的 一 种 网 络 安全 技术 。IDS 对 网 络 或 
系统 上 的 可 疑 行为 做 出 相应 的 反应 ,及 时 切断 入 侵 源 ,保护 现场 并 通过 各 种 途径 通知 网 
络 管理 员 ,增强 系统 安全 的 保障 。 


3. 入 侵 检测 系统 的 工作 流程 
入 侵 检测 系统 由 数据 收集 .数据 提取 、 数 据 分 析 和 事件 处 理 等 几 个 部 分 组 成 ,如 图 9-1 


2 入 侵 检测 技术 213 


所 示 


1 数据 收集 本 Er 

入 侵 检测 的 第 一 步 是 数据 收集 ,内 容 包括 系 取 
统 、 网 络 运行 ,数据 及 用 户 活动 的 状态 和 行为 ,而 
且 , 需 要 在 计算 机 网 络 系统 中 的 若干 不 同 关键 点 
(不 同 网 段 和 不 同 主机 ) 收 集 数 据 。 入 侵 检测 很 大 程度 上 依赖 于 收集 数据 的 准确 性 与 可 
靠 性 ,因此 ,必须 使 用 精确 的 软件 来 报告 这 些 信 息 ,因为 黑客 经 常 以 替换 软件 的 方式 移 走 
这 些 数据 ,例如 替换 被 程序 调用 的 子 程序 . 库 和 其 他 工具 。 数 据 的 收集 主要 来 源 以 下 几 
个 方面 ,系统 和 网 络 日 志文 件 、 目 录 和 文件 不 期 望 的 改变 ,程序 不 期 望 的 行为 以 及 物理 形 
式 的 入侵 数据 等 。 

2) 数据 提取 

从 收集 到 的 数据 中 提取 有 用 的 数据 ,以 供 数 据 分 析 之 用 。 

3) 数据 分 析 

对 收集 到 的 有 关系 统 、 网 络 运行 ,数据 及 用 户 活 动 的 状态 和 行为 等 数据 通过 三 种 技 
术 手 段 进 行 分 析 , 模 块 匹 配 .统计 分 析 和 完整 性 分 析 。 

4) 结果 处 理 

记录 入 侵 事 件 , 同 时 采取 报警 、 中 断 连 接 等 措施 。 


912 入 侵 检测 系统 的 分 类 


入侵 检测 系统 (IDS) 可 以 分 成 3 类 ,基于 主机 型 (host based) 入 侵 检 测 系 统 、 基 于 网 
络 型 (network based) 入 侵 检 测 系统 和 基于 代理 型 (agent based) 入 侵 检 测 系统 。 


1. 基于 主机 的 入 侵 检 测 系统 


基于 主机 的 人 侵 检测 系统 通常 以 系统 日 志 、 应 用 程序 日 志 等 审计 记录 文件 作为 数据 
源 。 它 是 通过 比较 这 些 审 计 记 录 文 件 的 记录 与 攻击 签名 (attack signature, 指 用 一 种 特定 
的 方式 来 表示 已 知 的 攻击 模式 ) 以 发 现 它们 是 否 匹 配 。 如 果 匹 配 , 检 测 系统 向 系统 管理 
员 发 出 入 侵 报警 并 采取 相应 的 行动 。 基 于 主机 的 IDS 可 以 精确 地 判断 入 侵 事件 ,并 可 对 
和 人 侵 事 件 及 时 做 出 反应 。 它 还 可 针对 不 同 操作 系统 的 特点 判断 应 用 层 的 入 侵 事 件 。 基 
于 主机 的 IDS 有 着 明显 的 优点 。 

。 适合 于 加 密 和 交换 环境 。 

。 可 实时 的 检测 和 响应 。 

。 不 需要 额外 的 硬件 。 

基于 主机 的 入 侵 检测 系统 对 系统 内 在 的 结构 却 没有 任何 约束 ,同时 可 以 利用 操作 系 
统 本 身 提供 的 功能 ,并 结合 异常 检测 分 析 , 更 能 准确 的 报告 攻击 行为 。 

基于 主机 的 入侵 检测 系统 存在 的 不 足 之 处 在 于 ,会 占用 主机 的 系统 资源 ,增加 系统 
负荷 ,而 且 针 对 不 同 的 操作 平台 必须 开发 出 不 同 的 程序 ,另外 所 需 配置 的 数量 众多 。 


因 
EE A 于 E> 


图 9-1 入 侵 检 测 系 统 工作 流程 
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2. 基于 网 络 的 入 侵 检测 系统 


基于 网 络 的 人 侵 检测 系统 把 原始 的 网 络 数据 包 作为 数据 源 。 利 用 网 络 适 配器 来 实 
时 地 监视 并 分 析 通 过 网 络 进行 传输 的 所 有 通信 业务 。 它 用 攻击 识别 模块 进行 攻击 签名 
识别 ,其 方法 有 模式 .表达 式 或 字 节 码 匹配 ,频率 或 阔 值 比较 ,次 要 事件 的 相关 性 处 理 , 统 
计 异 常 检测 等 。 一 旦 检测 到 攻击 ,IDS 的 响应 模块 通过 通知 .报警 以 及 中 断 连 接 等 方式 来 
对 攻击 行为 做 出 反应 。 然 而 它 只 能 监视 通过 本 网 段 的 活动 ,并 且 精 确 度 较 差 ,在 交换 网 
络 环境 中 难于 配置 , 防 欺骗 的 能 力也 比较 差 。 其 优势 有 : 

”成 本 低 。 

。 攻击 者 转移 证 据 困难 。 
实时 检测 和 响应 。 
。 能 够 检测 到 未 成 功 的 攻击 企图 。 
。 与 操作 系统 无 关 , 即 基于 网 络 的 IDS 并 不 依赖 主机 的 操作 系统 作为 检测 资源 。 


3. 基于 代理 的 入 侵 检测 系统 


基于 代理 的 人 侵 检测 系统 用 于 监视 大 型 网 络 系统 。 随 着 网 络 系统 的 复杂 化 和 大 型 
化 ,系统 弱点 趋 于 分 布 式 ,而且 攻 击 行为 也 表现 为 相互 协作 式 特点 ,所 以 不 同 的 IDS 之 间 
需要 共享 信息 ,协同 检测 。 整 个 系统 可 以 由 一 个 中 央 监 视 嚣 和 多 个 代理 组 成 。 中 央 监 视 
器 负责 对 整个 监视 系统 的 管理 , 它 应 该 处 于 一 个 相对 安全 的 地 方 。 代 理 则 被 安放 在 被 监 
视 的 主机 上 (如 服务 器 、 交 换 机 和 路 由 器 等 )。 代 理 负责 对 某 一 主机 的 活动 进行 监视 ,如 
收集 主机 运行 时 的 审计 数据 和 操作 系统 的 数据 信息 ,然后 将 这 些 数据 传送 到 中 央 监 视 
器 。 代 理 也 可 以 接受 中 央 监 控 器 的 指令 ,这 种 系统 的 优点 是 可 以 对 大 型 分 布 式 网 络 进行 
检测 。 


913 入 侵 检 测 技术 的 发 展 方向 


可 以 看 到 ,在 人 侵 检 测 技术 发 展 的 同时 ,入 侵 技术 也 在 不 断 更 新 ,攻击 者 已 将 如 何 绕 

过 IDS 或 攻击 IDS 系统 作为 研究 重点 。 高 速 网 络 ,尤其 是 交换 技术 的 发 展 以 及 通过 加 密 

信道 的 数据 通信 ,使 得 通过 共享 网 段 侦 听 的 网 络 数据 采集 方法 显得 不 足 ,而 大 量 的 通信 

量 对 数据 分 析 也 提出 了 新 的 要 求 。 随 着 信息 系统 对 一 个 国家 的 社会 生产 与 国民 经 济 的 

影响 越 来 越 重要 ,信息 战 已 逐步 被 各 个 国家 重视 ,信息 战 中 的 主要 攻击 “武器 ”之 一 就 是 

网 络 的 入 侵 技术 ,信息 战 的 防御 主要 包括 “保护 "“ 检 测 ” 与 “响应 ,入侵 检测 则 是 其 中 

“检测 ”与 “响应 ”环节 不 可 缺少 的 部 分 。 对 入 侵 检测 技术 主要 的 发 展 方向 有 下 列 几 个 
方向 。 

。 分 布 式 人 侵 检测 与 通用 入 侵 检测 架构 CIDF (Common Intrusion Detection Frame- 

work) 。 传 统 的 IDS 一 般 局 限于 单一 的 主机 或 网 络 架 构 , 对 异 构 系 统 及 大 规模 网 络 

的 监测 明显 不 足 。 同 时 不 同 的 IDS 系统 之 间 不 能 协同 工作 ,为 解决 这 一 问题 ,需要 

分 布 式 人 侵 检测 技术 与 通用 入 侵 检 测 架 构 。CIDF 以 构建 通用 的 IDS 体系 结构 与 

通信 系统 为 目标 ,GrIDS(Graph-based Intrusion Detection System, 基 于 曲线 入 侵 
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检测 系统 ) 跟 踪 与 分 析 分 布 系统 入 侵 以 及 实现 在 大 规模 的 网 络 与 复杂 环境 中 的 人 
侵 检测 。 

应 用 层 入 侵 检测 。 许 多 和 人 侵 的 语义 只 有 在 应 用 层 才 能 理解 ,而 目前 的 IDS 仅 能 检 
测 如 Web 之 类 的 通用 协议 ,而 不 能 处 理 如 Lotus Notes、 数 据 库 系统 等 其 他 的 应 
用 系统 。 许 多 基于 客户 .服务 器 结构 与 中 间 件 技术 及 对 象 技术 的 大 型 应 用 ,需要 
应 用 层 的 入侵 检测 保护 。 另 外 ,基于 CORBA (Common Object Request Broker 
Architecture) 环 境 下 的 IDS 也 是 一 个 重要 的 发 展 方向 。 

智能 的 入侵 检测 。 入 侵 方 法 越 来 越 多 样 化 与 综合 化 ,尽管 已 经 有 智能 体 、 神 经 网 
络 与 遗传 算法 在 和 人 侵 检 测 领域 应 用 研究 ,但 是 这 只 是 一 些 尝试 性 的 研究 工作 , 需 
要 对 智能 化 的 IDS 加 以 进一步 的 研究 以 解决 其 自学 习 与 自 适 应 能 力 。 

入 侵 检测 的 评测 方法 。 用 户 需 对 众多 的 IDS 系统 进行 评价 ,评价 指标 包括 IDS 
检测 范围 .系统 资源 占用 、IDS 系统 自身 的 可 靠 性 。 从 而 设计 通用 的 入 侵 检测 测 
试 与 评估 方法 和 平台 ,实现 对 多 种 IDS 系统 的 检测 已 成 为 当前 IDS 的 另 一 重要 
研究 与 发 展 领域 。 

全 面 的 安全 防御 方案 。 即 使 用 安全 工程 风险 管理 的 思想 与 方法 来 处 理 网 络 安全 
问题 ,将 网 络 安 全 作为 一 个 整体 工程 来 处 理 。 从 管理 .网络 结构 .加密 通道 ,防火 
墙 ,病毒 防护 和 入 侵 检测 多 方位 全 面 对 所 关注 的 网 络 作 全 面 的 评估 ,然后 提出 可 
行 的 全 面 解决 方案 。 

B/S 结构 的 入侵 检测 。 目 前 使 用 的 C/S 结构 软件 ( 即 客户 机 /服务 器 模式 ) 分 为 客 
户 机 和 服务 器 两 层 ,客户 机 不 是 毫 无 运算 能 力 的 输入 、 输 出 设备 ,而 是 具备 了 一 定 
的 数据 处 理 和 数据 存储 能 力 ,通过 把 应 用 软件 的 计算 和 数据 合理 地 分 配 在 客户 机 
和 服务 器 两 端 ,可 以 有 效 地 降低 网 络 通信 量 和 服务 器 运算 量 。 由 于 服务 器 连接 数 
量 和 数据 通信 量 的 限制 ,这 种 结构 的 软件 适 于 在 用 户 数目 不 多 的 局 域 网 内 使 用 。 
B/S 结构 软件 (浏览 器 /服务 器 模式 ) 是 随 着 Internet 技术 的 兴起 ,对 C/S 结构 的 
一 种 改进 。 在 这 种 结构 中 ,软件 应 用 的 业务 逻辑 完全 在 应 用 服务 器 端 实现 ,用 户 
表现 完全 在 Web 服务 器 实现 ,客户 端 只 需要 浏览 器 即 可 进行 业务 处 理 , 是 一 种 全 
新 的 软件 系统 构造 技术 。 这 种 结构 已 经 成 为 当今 应 用 软件 的 首选 体系 结构 。 
智能 关联 。 智 能 关联 是 将 企业 相关 系统 的 信息 (如 主机 特征 信息 ) 与 网 络 IDS 检 
测 结构 相 融 合 ,从 而 减少 误 警 。 如 系统 的 脆弱 性 信息 需要 包括 特定 的 操作 系统 
(OS) 以 及 主机 上 运行 的 服务 。 当 IDS 使 用 智能 关联 时 , 它 可 以 参考 目标 主机 上 
存在 的 ,与 脆弱 性 相关 的 所 有 告警 信息 。 如 果 目 标 主机 不 存在 某 个 攻击 可 以 利用 
的 漏洞 ,IDS 将 抑制 告警 的 产生 。 智 能 关联 包括 主动 关联 和 被 动 关 联 。 主 动 关联 
是 通过 扫描 确定 主机 漏洞 ,被动 关 联 是 借助 操作 系统 的 指纹 识别 技术 , 即 通过 分 
析 IP、TCP 报头 信息 识别 主机 上 的 操作 系统 。 

告警 泛滥 抑制 。IDS 产品 使 用 告警 泛滥 抑制 技术 可 以 降低 误 警 率 。 在 利用 漏洞 
的 攻击 势头 逐渐 变 强 之 时 ,IDS 短 时 间 内 会 产生 大 量 的 告警 信息 ,而 IDS 传感器 
却 要 对 同一 攻击 重复 记录 ,尤其 是 蠕虫 在 网 络 中 自我 繁殖 的 过 程 中 ,这 种 现象 最 
为 严重 。 这 种 现象 为 “告警 饱和 ”。 所 谓 “ 告 警 泛滥 ”是 指 短 时 间 内 产生 的 关于 同 
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一 攻击 的 告警 。 下 一 代 IDS 产品 利用 一 些 规则 (规则 的 制定 需要 考虑 传感器 ) 筛 
选 产生 的 告警 信息 来 抑制 告警 泛滥 ;IDS 可 根据 用 户 需 求 减少 或 抑制 短 时 间 内 同 
一 传感器 针对 某 个 流量 产生 的 重复 告警 。 这 样 ,网管 人 员 可 以 专注 于 公司 网 络 的 
安全 状况 ,不 至 于 为 泛滥 的 告警 信息 大 伤 脑筋 。 告 警 泛 小 抑 制 技术 是 将 一 些 规则 
或 参数 (包括 警告 类 型 . 源 IP、 目 的 IP 以 及 时 间 窗 大 小 ) 融 入 到 IDS 传感器 中 ,使 
传感器 能 够 识别 告警 饱和 现象 并 实施 抑制 操作 。 有 了 这 种 技术 ,传感器 可 以 在 告 
警 前 对 警报 进行 预 处 理 ,抑制 重复 告警 。 例 如 ,可 以 对 传感器 进行 适当 配置 ,使 它 
忽略 在 30 秒 内 产生 的 针对 同一 主机 的 告警 信息 ;IDS 在 抑制 告警 的 同时 可 以 记 
录 这 些 重复 警告 用 于 事后 的 统计 分 析 。 
告警 融合 。 该 技术 是 将 不 同 传感器 产生 的 、 具 有 相关 性 的 低级 别 告警 融合 成 更 高 
级 别 的 警告 信息 ,这 有 助 于 解决 误 报 和 漏 报 问 题 。 当 与 低级 别 警告 有 关 的 条 件 或 
规则 满足 时 ,安全 管理 员 在 IDS 上 定义 的 元 告警 相关 性 规则 就 会 促使 高 级 别 警 
告 产生 。 如 扫描 主机 事件 ,如 果 单 独 考虑 每 次 扫描 ,可 能 认为 每 次 扫描 都 是 独立 
的 事件 ,而且 对 系统 的 影响 可 以 忽略 不 计 ; 但 是 ,如果 把 在 短 时 间 内 产生 的 一 系列 
事件 整合 考虑 ,会 有 不 同 的 结论 。IDS 在 10min 内 检测 到 来 自 于 同一 IP 的 扫描 
事件 ,而且 扫描 强度 在 不 断 升 级 ,安全 管理 人 员 可 以 认为 是 攻击 前 的 渗透 操作 ,应 
该 作为 高 级 别 告警 对 待 。 这 个 例子 告诉 我 们 告警 融合 技术 可 以 发 出 早期 攻击 警 
告 ,如 果 没 有 这 种 技术 ,需要 安全 管理 员 来 判断 一 系列 低级 别 告警 是 否 是 随后 更 
高 级 别 攻击 的 先兆 ;而 通过 设置 元 警告 相关 性 规则 ,安全 管理 员 可 以 把 精力 都 集 
中 在 高 级 别 警 告 的 处 理 上 。 
可 信任 防御 模型 。 改 进 的 IDS 中 应 该 包含 可 信任 防御 模型 的 概念 。2004 年 多 数 
传统 的 IDS 供应 商 已 经 逐渐 地 把 防御 功能 加 入 到 IDS 产品 中 。 与 此 同时 ,IPS 
(人 侵 防 御 系 统 ) 产 品 的 使 用 率 在 增长 ,但 是 安全 人 士 仍 然 为 IDS 产品 预 留 了 实 
现 防御 功能 的 空间 。IDS 产品 供应 商 之 所 以 这 样 做 ,部 分 原因 在 于 他 们 认识 到 防 
御 功 能 能 否 有 效 地 实施 关键 在 于 检测 功能 的 准确 性 和 有 效 性 。 没 有 精确 的 检测 
就 谈 不 上 建立 可 信任 的 防御 模型 ;所 以 ,开发 出 好 的 内 嵌 防 御 功 能 的 IDS 产品 关 
键 在 于 提高 检测 的 精确 度 。 在 下 一 代 IDS 产品 中 ,融入 可 信任 防御 模型 后 ,将 会 
对 第 一 代 IPS 产品 遇 到 的 问题 ( 误 报 导致 合法 数据 被 阻塞 、 丢 弃 ; 自 身 原因 造成 的 
拒绝 服务 攻击 泛滥 ;应 用 级 防御 ) 有 个 圆满 的 解决 。 

可 信任 防御 模型 中 采用 的 机 制 如 下 : 

(1) 信任 指数 。IDS 为 每 个 告警 赋予 一 个 可 信 值 , 即 在 IDS 正确 评估 攻击 /威胁 后 对 
是 否 发 出 告警 的 自我 确信 和 度 。 如 对 于 已 知 的 SQLSlammer 攻击 ,IDS 在 分 析 数 据 流 中 的 
数据 报 类 型 和 大 小 后 ,以 高 确信 度 断 定数 据 流 包含 SQLSlammer 流量 。 因 为 这 种 攻击 使 
用 UDP, 数 据 报 大 小 为 376, 所 用 端口 为 1434; 有 了 这 样 的 数据 ,IDS 会 为 相应 的 告警 赋 
予 高 信任 指数 。 

(2) 拒绝 服务 攻击 (DOS)。 攻 击 者 可 能 冒充 内 网 IP( 如 邮件 服务 器 IP) 进 行 欺骗 攻 
击 , 传 统 防御 系统 将 会 拒绝 所 有 来 自 邮件 服务 器 的 流量 ,导致 网 内 机 器 不 能 接受 外 部 发 
来 的 邮件 ,下 一 代 IDS 产品 能 够 识别 这 种 自发 的 DOS 情形 ,并 且 降 低 发 生 概率 。 
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(3) 应 用 级 攻击 。 这 是 一 种 针对 被 保护 力度 低 的 应 用 程序 (如 即时 通信 工具 .VoIP 
等 ) 发 起 的 攻击 ,攻击 造成 的 后 果 非 常 严重 。 下 一 代 IDS 产品 提供 深度 覆盖 技术 来 保护 
脆弱 的 应 用 程序 免 遭 攻击 。 


92 网 络 入 侵 技 术 


网 络 入 侵 检 测 的 技术 主要 有 异常 检测 模型 和 误 用 检测 模型 ,此 外 ,还 有 基于 生物 免 
疫 系统 的 入 侵 检测 模型 和 基于 伪装 的 入 侵 检测 模型 。 


921 基本 检测 方法 


1. 基于 用 户 特征 的 检测 


基于 用 户 特 征 的 检测 方法 是 根据 用 户 通常 的 举动 来 识别 特定 的 用 户 ,用 户 的 活动 模 
式 根据 在 一 段 时 间 内 的 观察 后 建立 。 例 如 , 某 个 用 户 多 次 使 用 某 些 命令 ,在 特定 的 时 间 
内 以 一 定 的 频 度 访问 文件 .系统 登录 及 执行 相同 的 程序 等 。 可 以 按照 用 户 的 活动 情况 给 
每 个 合法 的 用 户 建立 特征 库 , 用 以 检测 和 判断 登录 用 户 的 合法 性 ,因为 非法 用 户 不 可 能 
像 合 法 用 户 一 样 地 进行 同样 的 操作 。 


2. 基于 入 侵 者 的 特征 的 检测 


当 外 界 用 户 或 人 侵 者 试图 访问 某 个 计算 机 系统 时 会 进行 某 些 特 殊 的 活动 或 使 用 特 
殊 方法 ,如 果 这 些 活动 能 够 予以 描述 并 作为 对 入 侵 者 的 描述 ,入 侵 活动 就 能 够 被 检测 到 。 
非法 入 侵 者 活动 的 一 个 典型 例子 是 , 当 其 获得 系统 的 访问 权时 ,通常 会 立即 查看 当前 有 
哪些 用 户 在 线 , 并 且 会 反复 检查 文件 系统 和 浏览 目录 结构 ,还 会 打开 这 些 文件 ,另外 , 非 
法 入 侵 者 在 一 个 系统 上 不 会 停留 过 久 , 而 一 个 合法 的 用 户 一 般 是 不 会 这 样 做 的 。 


3. 基于 活动 的 检测 


一 般 来 说 ,非法 入 侵 者 在 入 侵 系统 时 会 进行 某 些 已 知 的 且 具 有 共性 的 操作 ,比如 在 
入 侵 UNIX 时 入 侵 通 常 要 试图 获得 根 (root) 权 限 ,所 以 ,用 户 有 理由 认为 任何 企图 获得 根 
权限 的 活动 都 要 被 检测 。 


922 异常 检测 模型 


1. 异常 检测 模型 的 基本 原理 


异常 检测 ,也 被 称 为 基于 行为 的 检测 。 其 基本 前 提 是 假定 所 有 的 入 侵 行为 都 是 异常 
的 。 其 基本 原理 是 ,首先 建立 系统 或 用 户 的 “正常 ”行为 特征 轮廓 ,通过 比较 当前 的 系统 
或 用 户 的 行为 是 否 偏离 正常 的 行为 特征 轮廓 来 判断 是 否 发 生 了 入 侵 。 而 不 是 依赖 于 具 
体 行为 是 否 出 现 来 进行 检测 的 ,从 这 个 意义 上 来 讲 , 异 常 检测 是 一 种 间接 的 方法 。 
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2. 异常 检测 的 关键 技术 


1) 特征 量 的 选择 

异常 检测 首先 是 要 建立 系统 或 用 户 的 “正常 "行为 特征 轮廓 ,这 就 要 求 在 建立 正常 模 
型 时 ,选取 的 特征 量 既 要 能 准确 地 体现 系统 或 用 户 的 行为 特征 ,又 能 使 模型 最 优化 , 即 以 
最 少 的 特征 量 就 能 涵盖 系统 或 用 户 的 行为 特征 。 例 如 ,可 以 检测 磁盘 的 转速 是 否 正常 ， 
CPU 是 否 无 故 超频 等 异常 现象 。 

2) 参考 阅 值 的 选 定 

因为 在 实际 的 网 络 环境 下 ,入侵 行为 和 异常 行为 往往 不 是 一 对 一 的 等 价 关 系 , 经 常 
发 生 这 样 的 异常 情况 ,如 某 一 行为 是 异常 行为 ,而 它 并 不 是 入 侵 行为 ;同样 存在 某 一 行为 
是 入 侵 行为 ,而 它 却 并 不 是 异常 行为 的 情况 。 这 样 就 会 导致 检测 结果 的 虚 警 (false 
positives) 和 漏 警 (false negatives) 的 产生 。 由 于 异常 检测 是 先 建立 正常 的 特征 轮廓 作为 
比较 的 参考 基准 ,这 个 参考 基准 即 参考 阔 值 的 选 定 是 非常 关键 的 , 阔 值 定 的 过 大 , 那 漏 警 
率 会 很 高 ; 阔 值 定 的 过 小 , 则 虚 警 率 就 会 提高 。 合 适 的 参考 阔 值 的 选 定 是 影响 这 一 检测 
方法 准确 率 的 至 关 重 要 的 因素 。 

从 异常 检测 的 原理 可 以 看 出 ,该 方法 的 技术 难点 在 于 “正常 "行为 特征 轮廓 的 确定 、 
特征 量 的 选取 ,特征 轮廓 的 更 新 。 由 于 这 几 个 因素 的 制约 ,异常 检测 的 虚 警 率 很 高 ,但 对 
于 未 知 的 入侵 行为 的 检测 非常 有 效 。 此 外 ,由 于 需要 实时 地 建立 和 更 新 系统 或 用 户 的 特 
征 轮廓 ,这 样 所 需 的 计算 量 很 大 ,对 系统 的 处 理性 能 要 求 会 很 高 。 


3. 异常 检测 模型 的 实现 方法 


异常 检测 模型 常用 的 实现 方法 有 统计 异常 检测 方法 、 基 于 特征 选择 异常 检测 方法 、 
基于 贝 叶 斯 推理 异常 检测 方法 、 基 于 贝 叶 斯 网 络 异 常 检测 方法 、 基 于 模式 预测 异常 检测 
方法 、 基 于 神经 网 络 异常 检测 方法 、 基 于 机 器 学 习 异 常 检测 方法 和 基于 数据 采 据 异常 检 
测 方 法 等 。 

1) 基于 统计 分 析 的 异常 检测 方法 

基于 统计 分 析 的 异常 检测 方法 是 根据 异常 检测 器 观察 主体 的 活动 情况 , 随 之 产生 能 
刻画 这 些 活动 的 行为 框架 。 每 一 个 框架 能 保存 记录 主体 的 当前 行为 ,并 定时 地 将 当前 的 
框架 与 存储 的 框架 合并 。 通 过 比较 当前 的 框架 与 事先 存储 的 框架 来 判断 异常 行为 ,从 而 
检测 出 网 络 的 入 侵 行为 。 

设 M ,Ms，,…,M, 为 框架 的 特征 变量 ,如 CPU 的 使 用 、1/O 的 使 用 、 使 用 地 点 及 时 
间 、 邮 件 的 使 用 ,文件 的 访问 数量 、 网 络 的 会 话 时 间 等 。 用 Si ,S,,…,S, 分 别 表示 与 框架 
中 的 变量 Mi ,M;,…,M, 对 应 的 异常 测量 值 .这 些 值 表明 了 异常 程度 ,S; 的 值 越 高 , 则 M， 
的 异常 性 就 越 大 。 

框架 的 异常 值 是 将 有 关 的 异常 测量 平方 加 权 后 得 到 的 ,其 计算 式 如 下 : 

S 一 aSi 十 azS 十 … 十 anS3 

其 中 ,ai 表示 框架 与 变量 M; 相 关 的 权重 ,一 般 地 .Mi ,Ma: .…,M, 不 是 相互 独立 的 ,而 是 具 
有 相关 性 的 。 常 见 的 几 种 异常 测量 值 的 测量 类 型 如 下 : 
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。 活动 强度 测量 。 用 以 描述 活动 的 处 理 速 度 。 

。 审计 记录 分 布 测量 。 用 以 描述 最 近 审 计 记 录 中 所 有 活动 类 型 的 分 布 状况 。 

。 类 型 测量 。 用 以 描述 特定 的 活动 在 各 种 类 型 的 分 布 状况 。 

。 顺序 测量 。 用 以 描述 活动 的 输出 结果 。 

2) 基于 特征 选择 的 异常 检测 方法 

基于 特征 选择 的 异常 检测 方法 是 通过 从 一 组 度量 中 挑选 能 检测 出 入 侵 的 度量 构成 
子 集 来 准确 地 预测 或 分 类 已 检测 到 的 入 侵 。 

3) 基于 贝 叶 斯 推理 的 异常 检测 方法 

基于 贝 叶 斯 (Bayesian) 推 理 异 常 检测 方法 是 通过 在 任意 的 时 刻 , 测 量 A ,As，… ,A。 
变量 值 推理 判断 系统 是 否 有 入 侵 事 件 的 发 生 。 其 中 每 个 A; 变量 表示 系统 不 同 的 方面 特 
征 ( 如 磁盘 1/O 的 活动 数量 ,或 者 系统 中 页 面 出 错 的 次 数 等 ) 。 

4) 基于 贝 叶 斯 网 络 的 异常 检测 方法 

基于 贝 叶 斯 网 络 的 异常 检测 方法 是 通过 建立 起 异常 人 侵 检测 的 贝 叶 斯 网 络 , 然 后 将 
其 用 作 分 析 异 常 测量 的 结果 。 

5) 基于 模式 预测 的 异常 检测 方法 

基于 模式 预测 异常 检测 方法 是 假设 事件 序列 不 是 随机 的 而 是 能 遵循 可 辨别 的 模式 ， 
这 种 检测 方法 的 主要 特点 是 考虑 事件 的 序列 及 其 相互 联系 。 其 典型 模型 是 由 Teng 和 
Chen 提出 的 基于 时 间 的 推理 方法 ,利用 时 间 规 则 识别 用 户 行为 正常 模式 的 特征 。 通 过 
归纳 学 习 产 生 这 些 规则 集 ,并 能 动态 地 修改 系统 中 的 这 些 规 则 ,使 之 具有 高 的 预测 性 、 准 
确 性 和 可 信和 度 。 

6) 基于 神经 网 络 的 异常 检测 方法 

基于 神经 网 络 的 人 侵 检 测 方法 是 训练 神经 网 络 连续 的 信息 单元 ,这 里 的 信息 单元 指 
的 是 一 条 命令 。 网 络 的 输入 层 是 用 户 当前 输入 的 命令 和 已 执行 过 的 N 条 命令 ,神经 网 络 
就 是 利用 用 户 使 用 过 的 N 条 命令 来 预测 用 户 可 能 使 用 的 下 一 条 命令 。 当 神经 网 络 预测 
不 出 某 用 户 正确 的 后 续 命 令 , 即 在 某 种 程度 上 表明 了 有 异常 事件 发 生 ,以 此 进行 异常 人 
侵 的 检测 。 

7) 基于 贝 叶 斯 聚 类 的 异常 检测 方法 

基于 贝 叶 斯 聚 类 的 异常 检测 方法 是 通过 在 数据 中 发 现 不 同类 别 的 数据 集合 ,这 些 类 
反映 出 了 基本 的 因果 关系 ,以 此 就 可 以 区 分 异常 用 户 类 ,进而 推断 入 侵 事 件 发 生来 检测 
异常 人 侵 的 行为 。 

8) 基于 机 器 自学 习 系统 的 异常 检测 方法 

基于 机 器 自学 习 系统 的 异常 检测 方法 是 将 异常 检测 问题 归结 为 根据 离散 数学 临时 
序列 学 习 获 得 个 体 、 系 统 和 网 络 的 行为 特征 ,提出 一 个 基于 相似 度 的 学 习 方法 IBL, 该 方 
法 通过 新 的 序列 相似 度 的 计算 ,将 原始 数据 转化 成 可 度量 的 空间 。 然 后 ,应 用 IBL 的 学 
习 技 术 和 一 种 新 的 基于 序列 的 分 类 方法 ,从 而 发 现 异 常 类 型 事件 ,以 此 进行 人 侵 行为 的 
检测 。 

9) 基于 数据 采掘 技术 的 异常 检测 方法 

基于 数据 采掘 技术 的 异常 检测 方法 是 将 数据 采掘 技术 应 用 到 入 侵 检 测 研究 领域 中 ,从 
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审计 数据 或 数据 流 提取 感 兴趣 的 知识 规则、 规律 和 模式 等 形式 ,并 用 这 些 知 识 去 检测 异常 
人 侵 和 已 知 的 人 侵 。 基 于 数据 采掘 技术 的 异常 和 人 侵 检测 通常 使 用 的 是 KDD(Knowledge 
Discovery in Databases ,数据 库 中 的 知识 提取 ) 算 法 ,该 算法 就 是 从 数据 库 中 自动 提取 有 用 的 
信息 (知识 )。 这 种 算法 的 优点 是 选用 于 处 理 大 量 的 数据 ,但 KDD 算法 只 能 对 事后 数据 
进行 分 析 , 而 不 能 进行 实时 跟踪 处 理 。 


923 误 用 检测 模型 


1. 误 用 检测 模型 的 基本 原理 


在 介绍 基于 误 用 的 入 侵 检测 的 概念 之 前 ,有 必要 对 误 用 的 概念 做 一 个 简单 的 介绍 。 
误 用 是 英文 Misuse 的 中 文 直译 ,其 意思 是 “可 以 用 某 种 规则 、 方 式 或 模型 表示 的 攻击 或 
其 他 安全 相关 行为 ”。 

根据 对 误 用 概念 的 这 种 理解 ,可 以 定义 基于 误 用 的 入 侵 检 测 技 术 的 含义 ,“ 误 用 检测 
技术 主要 是 通过 某 种 方式 预先 定义 入 侵 行 为 ,然后 监视 系统 的 运行 ,并 从 中 找 出 符合 预 
先 定义 规则 的 入侵 行为 ”。 

一 个 典型 的 基于 误 用 的 入 侵 检 测 系 统 如 图 9-2 所 示 。 


修正 现 有 规则 
一 一 J] 规则 

审计 数据 多 系统 《机 六 

时 间 信 息 添加 白 规则 


图 9-2 典型 的 基于 误 用 的 入 侵 检测 系统 模型 


基于 误 用 的 人 侵 检测 系统 通过 使 用 某 种 模式 或 者 信号 标识 表示 攻击 ,进而 发 现 相同 
的 攻击 。 这 种 方式 可 以 检测 许多 甚至 全 部 已 知 的 攻击 行为 ,但 是 对 于 未 知 的 攻击 手段 却 
无 能 为 力 , 这 一 点 和 病毒 检测 系统 类 似 。 

对 于 误 用 检测 系统 来 说 ,最 重要 的 技术 如 下 : 

。 如 何 全 面 描述 攻击 的 特征 ,覆盖 在 此 基础 上 的 变种 方式 。 

。 如 何 排除 其 他 带 有 干扰 性 质 的 行为 ,减少 误 报 率 。 

误 用 检测 ,也 被 称 为 基于 知识 的 检测 。 其 基本 前 提 是 假定 所 有 可 能 的 入 侵 行为 都 能 
被 识别 和 表示 。 其 原理 是 ,首先 对 已 知 的 攻击 方法 进行 攻击 签名 (攻击 签名 是 指 用 一 种 
特定 的 方式 来 表示 已 知 的 攻击 模式 ) 表 示 , 然 后 根据 已 经 定义 好 的 攻击 签名 ,通过 判断 这 
些 攻 击 签 名 是 否 出 现 来 判断 入 侵 行为 的 发 生 与 否 。 这 种 方法 是 直接 判断 攻击 签名 的 出 
现 与 否 来 判断 入 侵 的 ,从 这 一 点 来 看 , 它 是 一 种 直接 的 方法 。 

误 用 检测 技术 的 关键 问题 是 攻击 签名 的 正确 表示 。 误 用 检测 是 根据 攻击 签名 来 判 
断 入 侵 的 ,如 何 用 特定 的 模式 语言 来 表示 这 种 攻击 行为 ,是 该 方法 的 关键 所 在 。 尤 其 是 
攻击 签名 必须 能 够 准确 地 表示 人 侵 行 为 及 其 所 有 可 能 的 变种 ,同时 又 不 会 把 非 和 人 侵 行为 
包含 进来 。 由 于 大 部 分 的 人 侵 行为 是 利用 系统 的 漏洞 和 应 用 程序 的 缺陷 进行 攻击 的 , 那 
么 通过 分 析 攻 击 过 程 的 特征 条件、 排列 以 及 事件 间 的 关系 ,就 可 具体 描述 入 侵 行为 的 迹 
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象 。 这 些 迹象 不 仅 对 分 析 已 经 发 生 的 人 侵 行为 有 帮助 ,而且 对 即将 发 生 的 入 侵 也 有 预警 
作用 ,因为 只 要 部 分 满足 这 些 人 侵 迹象 就 意味 着 有 人 侵 行为 发 生 的 可 能 。 

误 用 检测 是 通过 将 收集 到 的 信息 与 已 知 的 攻击 签名 模式 库 进 行 比较 ,从 而 发 现 违背 
安全 策略 的 行为 。 该 方法 类 似 于 病毒 检测 系统 ,其 检测 的 准确 率 和 效率 都 比较 高 。 而 且 
这 种 技术 比较 成 熟 , 国 际 上 一 些 项 尖 的 人 侵 检测 系统 都 采用 该 方法 ,该 方法 也 存在 一 些 
缺点 : 

(1) 不 能 检测 未 知 的 人 侵 行为 。 由 于 其 检测 机 理 是 对 已 知 的 人 侵 方法 进行 模式 提 
取 , 对 于 未 知 的 人 侵 方 法 由 于 缺乏 认识 就 不 能 进行 有 效 的 检测 。 也 就 是 说 漏 警 率 比 
较 高 。 

(2) 与 系统 的 相关 性 很 强 。 由 于 不 同 的 操作 系统 的 实现 机 制 不 同 , 对 其 攻击 的 方法 
也 不 尽 相同 ,很 难 定义 出 统一 的 模式 库 。 另 外 由 于 已 知 认识 的 局 限 性 ,难以 检测 出 内 部 
人 员 的 蓄意 破坏 和 攻击 行为 ,如 合法 用 户 的 泄漏 。 


2. 误 用 入 侵 检测 模型 的 基本 方法 


误 用 检测 模型 常用 的 检测 方法 有 基于 条 件 概率 误 用 入 侵 检 测 方法 、 基 于 专家 系统 误 
用 入 侵 检 测 方法 、 基 于 状态 迁移 分 析 误 用 入 侵 检 测 方 法 、 基 于 键盘 监控 误 用 入 侵 检 测 方 
法 和 基于 模型 误 用 入 侵 检 测 方 法 等 。 

1) 基于 条 件 概 率 的 误 用 入 侵 检 测 方法 

基于 条 件 概率 的 误 用 入 侵 检测 方法 是 将 入 侵 的 方式 对 应 于 一 个 事件 序列 ,并 通过 对 
事件 发 生 的 情形 的 分 析 和 观察 来 推测 人 侵 的 一 种 方法 。 这 种 方法 的 依据 是 根据 贝 叶 斯 
定理 (Bayesian principles) 进 行 推理 检测 人 侵 行为 。 

基于 条 件 概率 的 误 用 入 侵 检测 模型 是 用 下 面 的 计算 公式 来 计算 的 。 


P(Intrusion) 
P(ES) 


而 P(ES)= (P(ES|Intrusion) — P(ES| ~ Intrusion)) X P(Intrusion) 
十 P(ES| ”Intrusion) 

其 中 ES 为 事件 序列 ,P(ES) 为 事件 发 生 的 概率 ,Intrusion 为 一 具体 的 事件 ,PCIntrusion ) 为 
事件 Intrusion 在 事件 序列 ES 上 发 生 的 先 验 概率 ,PCES| Intrusion) 为 事件 Intrusion 在 事件 
序列 ES 上 发 生 的 后 验 概率 ,P(ES| ” Intrusion) 为 非 Intrusion 事件 在 事件 序列 ES 上 发 生 的 
后 验 概率 。 所 谓 的 “ 先 验 概率 ?是 用 概率 来 描述 人 们 事先 对 所 研究 对 象 的 发 生 概 率 的 估算 ， 
即 根据 古典 概率 的 定义 ,用 数学 分 析 进 行 计 算得 到 的 概率 。 所 谓 的 “后 验 概率 ”就 是 根据 
有 具体 的 事件 资料 、 先 验 概率 ,特定 的 判别 规则 所 计算 机 出 来 的 概率 , 换 句 话 说 ,后 验 概率 
是 对 先 验 概率 进行 修正 后 的 结果 。 

通常 , 先 验 概率 P(Intrusion) 是 由 网 络 安全 管理 员 事 先 给 出 的 ,而 通过 对 入 侵 报 告 数 
据 的 统计 分 析 可 得 到 P(ES|Intrusion) 和 P(ES| ”Intrusion) 。 

2) 基于 专家 系统 的 误 用 入 侵 检测 方法 

基于 专家 系统 的 误 用 人 侵 检测 模型 是 通过 将 安全 专家 的 经 验 知识 表示 成 让 then 规 
则 而 形成 的 专家 知识 库 , 然 后 ,运用 推理 算法 进行 人 侵 行为 的 检测 。 


PlIntrusion| ES)= P(ES|Intrusion) 
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基于 专家 系统 的 误 用 入 侵 检 测 系统 的 典型 模型 是 CLIPS 模型 ,在 该 模型 中 ,将 入 侵 
知识 进行 编码 表示 成 fthen 规则 ,并 根据 相应 的 审计 跟踪 事件 的 断言 事实 。 编 码 规则 说 
明 攻 击 的 必需 条 件 作为 f 的 组 成 部 分 。 当 规则 的 左边 的 条 件 全 都 满足 时 ,规则 右边 的 动 
作 才 会 执行 。 

在 基于 专家 系统 的 人 侵 检测 模型 中 ,要 处 理 大 量 的 数据 和 依赖 于 审计 跟踪 的 次 序 。 
其 推理 方法 有 两 种 。 

。 根据 给 定 的 数据 ,应 用 符号 推理 出 入侵 行为 的 发 生 。 

。 根据 其 他 的 入 侵 证 据 , 进 行 不 确定 性 的 推理 。 

3) 基于 状态 迁移 分 析 的 误 用 人 侵 检测 方法 

状态 迁移 分 析 方法 是 将 攻击 表示 成 一 系列 被 监控 的 系统 状态 迁移 。 攻 击 模式 的 状 
态 对 应 于 系统 的 状态 ,并 且 具 有 迁移 到 另外 状态 的 特性 ,然后 通过 弧 线 连 续 的 状态 连接 
起 来 表示 状态 改变 所 需要 的 事件 。 

4) 基于 键盘 监控 的 误 用 入侵 检测 方法 

基于 键盘 监控 系统 的 误 用 入 侵 检测 方法 是 假设 入 侵 者 对 应 的 击 键 序列 模式 ,然后 监 
测 用 户 击 键 模式 ,并 将 这 一 击 健 模 式 与 人 侵 检 测 模式 相 匹 配 ,以 检测 入 侵 行为 。 

5) 基于 模型 的 误 用 入 侵 检测 方法 

基于 模型 的 误 用 入 侵 检 测 方法 是 通过 建立 误 用 证 据 模型 .根据 证 据 推理 来 作出 误 用 
发 生 判断 结论 。 


924 异常 检测 模型 和 误 用 检测 模型 的 比较 


异常 检测 系统 试图 发 现 一 些 未知 的 人 侵 行为 ,而 误 用 检测 系统 则 是 检测 一 些 已 知 的 
和 人 侵 行为 。 

异常 检测 指 根据 使 用 者 的 行为 或 资源 使 用 状况 来 判断 是 否 入 侵 行为 的 发 生 , 而 不 依 
赖 于 具体 行为 是 否 出 现 来 检测 ;而 误 用 检测 系统 则 大 多 是 通过 对 一 些 具体 的 行为 的 判断 
和 推理 ,从 而 检测 出 入 侵 行为 。 

异常 检测 的 主要 缺陷 在 于 误 检 率 很 高 ,尤其 在 用 户 数目 众多 或 工作 行为 经 常 改 变 的 
环境 中 ;而 误 用 检测 系统 由 于 依据 具体 特征 库 进行 判断 ,准确 度 要 高 很 多 。 

异常 检测 对 具体 系统 的 依赖 性 相对 较 小 ;而 误 用 检测 系统 对 具体 的 系统 依赖 性 很 
强 ,移植 性 不 好 。 


925 其 他 入 侵 检测 模型 


1. 基于 生物 免疫 的 入 侵 检 测 方法 


生物 免疫 系统 对 外 部 人 侵 病 原 可 自动 进行 抵御 并 可 对 自身 进行 保护 ,一 旦 抵御 了 某 
种 病原 体 的 攻击 后 , 则 可 对 该 病原 体 产 生 抗体 , 即 自动 获得 免疫 功能 , 当 该 病原 体 再 次 入 
侵 时 , 即 可 迅速 进行 有 效 的 抵抗 。 以 人 为 例 . 若 某 人 不 幸 感 染 了 结核 病 ,治愈 后 ,他 就 对 
结核 病菌 产生 了 抗体 ,以 后 就 再 也 不 会 感染 结核 病 了 。 

基于 生物 免疫 的 人 侵 检测 系统 就 是 通过 模仿 生物 有 机 体 的 免疫 能 力 , 使 得 受 保护 的 
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系统 能 够 将 外 来 的 非法 攻击 行为 与 自我 合法 行为 区 分 开 来 ,除了 能 够 进行 相应 的 处 理 以 
外 ,能 对 入 侵 的 行为 进行 详细 的 “记忆 ”( 即 自我 学习" 方法) ,当下 一 次 再 次 出 现 这 种 攻 
击 时 , 即 可 迅速 进行 抵御 ,以 达到 自我 保护 的 目的 。 

事实 上 ,基于 生物 免疫 系统 的 人 侵 检测 方法 是 将 异常 人 侵 检测 方法 与 误 用 入 侵 检 测 
方法 进行 有 机 的 结合 。 这 种 方法 的 新 颖 之 处 在 于 将 生物 学 的 免疫 原理 应 用 到 计算 机 网 
络 的 安全 保护 领域 之 中 。 


2. 基于 伪装 的 入 侵 检测 方法 


基于 伪装 的 人 侵 检测 方法 是 通过 在 网 络 主机 上 构造 或 设置 一 些 虚假 的 信息 ,并 将 这 
些 信息 暴露 在 网 上 ,若非 法 入 侵 者 对 这 些 信 息 感 兴趣 ,反复 访问 这 些 数据 ,或 反复 打开 相 
关 的 文件 ,或 下 载 这 些 文件 ,就 可 以 断定 系统 已 受到 入侵 攻击 ,并 可 确定 当前 登录 者 就 是 
非法 人 侵 者 。 这 一 技术 又 可 称 作 是 “ 蜜 饶 ”诱骗 技术 。 


3. 基于 统计 学 方法 的 入 侵 检 测 系统 


基于 统计 的 检测 规则 认为 人 侵 行 为 应 该 符合 统计 规律 。 例 如 ,系统 可 以 认为 一 次 密 
码 尝 试 失败 并 不 算是 入 侵 行为 ,因为 的 确 可 能 是 合法 用 户 输入 失误 ,但 是 如 果 在 一 分 钟 
内 有 3 次 以 上 同样 的 操作 就 不 可 能 完全 是 输入 失误 了 ,而 可 以 认定 是 入 侵 行为 。 因 此 ， 
组 成 分 析 策 略 的 检测 规则 就 是 表示 行为 频 度 的 阔 值 ,通过 检测 出 行为 并 统计 其 数量 和 频 
度 就 可 以 发 现 人 侵 。 

统计 模型 常用 于 对 异常 行为 的 检测 ,在 统计 模型 中 常用 的 测量 参数 包括 审计 事件 的 
数量 间隔 时 间 和 资源 消耗 情况 等 。 目 前 ,可 用 于 入 侵 检测 的 统计 模型 有 5 种 。 
操作 模型 。 该 模型 假设 异常 可 通过 测量 结果 与 一 些 固定 指标 相 比较 得 到 ,固定 指 
标 可 以 根据 经 验 值 或 一 段 时 间 内 的 统计 平均 得 到 ,举例 来 说 ,在 短 时 间 内 的 多 次 
失败 的 登录 很 可 能 是 口令 尝试 攻击 。 
方差 。 计 算 参 数 的 方差 , 设 定 其 置信 区 间 , 当 测量 值 超过 置信 区 间 的 范围 时 表明 
有 可 能 是 异常 。 
多 元 模型 。 操 作 模 型 的 扩展 ,通过 同时 分 析 多 个 参数 实现 检测 。 
马尔 柯 夫 过 程 模型 。 将 每 种 类 型 的 事件 定义 为 系统 状态 ,用 状态 转移 矩阵 来 表示 
状态 的 变化 , 若 对 应 于 发 生 事件 的 状态 矩阵 中 转移 概率 较 小 , 则 该 事件 可 能 是 异 
常事 件 。 
时 间 序 列 分 析 。 将 事件 计数 与 资源 耗 用 根据 时 间 排 成 序列 ,如 果 一 个 新 事件 在 该 
时 间 发 生 的 概率 较 低 , 则 该 事件 可 能 是 入侵。 

入 侵 检测 的 统计 分 析 首先 计算 用 户 会 话 过 程 的 统计 参数 ,再 进行 与 阔 值 比较 处 理 与 
加 权 处 理 , 最 终 通过 计算 其 "可 疑 " 概 率 分 析 其 为 入 侵 事 件 的 可 能 性 。 统计 方 法 的 最 大 优 
点 是 它 可 以 “学 习 ” 用 户 的 使 用 习惯 ,从 而 具有 和 较 高 检 出 率 与 可 用 性 。 但 是 它 的 “学 习 ” 能 
力也 给 入 侵 者 以 机 会 ,他 们 通过 逐步 “训练 ”使 入 侵 事 件 符合 正常 操作 的 统计 规律 ,从 而 
透 过 入 侵 检 测 系 统 。 
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4. 基于 专家 系统 的 入 侵 检 测 方法 


基于 专家 系统 的 人 侵 检 测 方法 与 运用 统计 方法 与 神经 网 络 对 入 侵 进 行 检测 的 方法 
不 同 ,用 专家 系统 对 人 侵 进行 检测 ,经常 是 针对 有 特征 的 入侵 行为 。 

所 谓 的 规则 , 即 是 知识 。 不 同 的 系统 与 设置 具有 不 同 的 规则 , 且 规则 之 间 往 往 无 通 
用 性 。 专 家 系统 的 建立 依赖 于 知识 库 的 完备 性 ,知识 库 的 完备 性 又 取决 于 审计 记录 的 完 
备 性 与 实时 性 。 特 征 入侵 的 特征 抽取 与 表达 ,是 和 人 侵 检测 专家 系统 的 关键 。 将 有 关 入 侵 
的 知识 转化 为 if-then 结构 (也 可 以 是 复合 结构 ) ,让 部 分 为 入侵 特征 ,then 部 分 是 系统 防 
范 措施 。 

运用 专家 系统 防范 有 特征 入 侵 行为 的 有 效 性 完全 取决 于 专家 系统 知识 库 的 完备 性 ， 
建立 一 个 完备 的 知识 库 对 于 一 个 大 型 网 络 系统 往往 是 不 可 能 的 , 且 如 何 根据 审计 记录 中 
的 事件 ,提取 状态 行为 与 语言 环境 也 是 较 困难 的 。 

由 于 专家 系统 的 不 可 移植 性 与 规则 的 不 完备 性 。 现 已 不 宜 单独 用 于 入 侵 检 测 ,或 单 
独 形成 商品 软件 。 较 适用 的 方法 是 将 专家 系统 与 采用 软 计算 方法 技术 的 人 侵 检测 系统 
结合 在 一 起 ,构成 一 个 以 已 知 的 入 侵 规则 为 基础 ,可 扩展 的 动态 人 侵 事件 检测 系统 , 自 适 
应 地 进行 特征 与 异常 检测 ,实现 高 效 的 人 侵 检 测 及 其 防御 。 
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931 Shot 软件 简介 


Snort 是 一 个 用 C 语言 编写 的 开放 源 代 码 软件 ,Snort 实际 上 是 一 个 基于 libpcap( 基 
于 UNIX/Linux 环境 的 网 络 数据 包 捕获 函数 包 ) 的 网 络 数据 包 嗅 探 器 和 日 志 记 录 工 具 ， 
可 以 用 于 入 侵 检测 。 从 入 侵 检测 分 类 上 来 看 , Snort 应 该 算是 一 个 基于 网 络 和 误 用 入 侵 
检测 软件 。 

Snort v2. 0 Snort 为 开放 源 代码 入 侵 检测 系统 软件 ,为 用 来 监视 网 络 传输 量 的 网 络 
型 人 侵 检测 系统 。 主 要 工作 是 捕 提 流 经 网 络 的 数据 包 , 一 旦 发 现 与 非法 入 侵 的 组 合 一 
致 , 便 向 管理 员 发 出 警告 。 

Snort 采用 基于 规则 的 网 络 信息 搜索 机 制 , 对 数据 包 进 行内 容 的 模式 匹配 ,从 中 发 现 
和 人 侵 和 探测 行为 ,例如 buffer overflows ,stealth port scans、CGI attacks 和 SMB probes 
等 。Snort 具有 实时 报警 的 能 力 , 它 的 警报 信息 可 以 发 往 syslog、Server Message Block 
(SMB) 、WinPopup messages 或 者 单独 alert 文件 。 Snort 可 以 通过 命令 进行 交互 ,并 对 可 
选 的 BPF(Berkeley Packet Filter) 命 令 进行 配置 。 

Snort 安装 在 一 台 主 机 上 可 对 整个 网 络 进行 监视 ,其 典型 运行 环境 如 图 9-3 所 示 。 

Snort 由 3 个 重要 的 子 系统 构成 ,数据 包 解码 器 .检测 引 擎 及 日 志 与 报警 系统 。 


1. 数据 包 解码 器 


数据 包 解 码 器 主要 是 对 各 种 协议 栈 上 的 数据 包 进 行 解析 、 预 处 理 ,以 便 提交 给 检测 
引擎 进行 规则 匹配 。 解 码 器 运行 在 各 种 协议 栈 之 上 ,从 数据 链 路 层 到 传输 层 ,最 后 到 应 
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Snon 主 机 
[{ 网 络 ) 
号 时 号 晤 
主机 1 主机 2 主机 3 主机 4 


图 9-3 Snort 的 典型 运行 环境 


用 层 。 因 为 当前 网 络 中 的 数据 流速 度 很 快 , 如 何 保障 较 高 的 速度 是 解码 器 子 系统 中 的 一 
个 重点 。 目 前 ,Snort 解码 器 支持 的 协议 包括 Ethernet、SLIP 和 raw(PPP)data-link 等 。 


2. 检测 引擎 


Snort 用 一 个 二 维 链表 存储 它 的 检测 规则 ,其 中 一 维 称 为 规则 头 , 另 一 维 称 为 规则 选 
项 。 规 则 头 中 放置 的 是 一 些 公 共 的 属性 特征 ,而 规则 选项 中 放置 的 是 一 些 人 侵 特 征 。 为 
了 提高 检测 速度 ,通常 把 最 常用 的 源 / 目 的 IP 地 址 和 端口 信息 放 在 规则 头 链 表 中 ,而 把 
一 些 独特 的 检测 标志 放 在 规则 选项 链表 中 。 规 则 匹配 查找 采用 递归 的 方法 进行 ,检测 机 
制 只 针对 当前 已 经 建立 的 链表 选项 进行 检测 。 当 数据 包 满 足 一 个 规则 时 ,就 会 触发 相应 
的 操作 。Snort 的 检测 机 制 非常 灵活 ,用 户 可 以 根据 自己 的 需要 很 方便 地 在 规则 链表 中 
添加 所 需要 的 规则 模块 。 


3. 日 志和 报警 子 系统 


日 志和 报警 子 系统 可 以 在 运行 Snort 的 时 候 以 命令 行 交互 的 方式 进行 选择 。 

Snort 是 一 种 基于 网 络 的 人 侵 检 测 系统 ,Snort 的 规则 在 逻辑 上 分 为 两 部 分 ,规则 头 
(rule header) 和 规则 选项 (rule option) 。 规 则 头 定义 了 规则 的 行为 .所 匹配 网 络 报 文 的 
协议 , 源 地 址 、 目 标 地 址 及 其 网 络 掩 码 、 源 端口 和 目标 端口 等 信息 ;规则 选项 部 分 则 包含 
了 所 要 显示 给 用 户 查看 的 警告 信息 ,以 及 用 来 判定 此 报 文 是 否 为 攻击 报 文 的 其 他 信息 。 


932 Shot 软件 的 使 用 技术 


Snort 软件 使 用 的 技术 如 下 : 
网 络 安全 事件 响应 技术 。 
安全 事件 的 定义 。 
事件 响应 的 处 理 过 程 。 
网 络 攻击 的 追踪 。 
应 急 处 置 与 恢复 技术 。 
远程 备份 技术 。 
。 安全 事件 的 定义 。 
所 谓 “ 事 件 ”, 指 的 是 那些 影响 计算 机 系统 和 网 络 安 全 的 不 当 行为 。 这 些 行为 包括 在 
计算 机 和 /网 络 上 发 生 的 可 以 观察 得 到 的 任何 现象 ,包括 通过 网 络 连 接 到 另 一 个 系统 、 获 
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取 文件 和 关闭 系统 等 。 恶 意 事件 包括 对 系统 的 破坏 、 在 某 个 网 络 内 IP 包 的 泛滥 、 未 经 授 
权 的 情况 下 使 用 另 一 个 用 户 的 账户 或 系统 的 特殊 权限 、 黑 掉 了 一 个 或 若干 个 网 页 以 及 执 
行 恶 意 代码 并 毁坏 了 数据 等 。 其 他 有 害 事件 还 包括 水 、 火 、 断 电 和 过 热 而 导致 系统 次 
痰 等 。 

“事件 响应 ”的 意思 是 事件 发 生 后 采取 的 措施 和 行动 。 这 些 行动 措施 通常 是 阻止 和 
减 小 事件 带 来 的 影响 。 行动 可 能 来 自 于 人 也 可 能 来 自 于 计算 机 系统 。 

事件 响应 的 处 理 过 程 如 下 : 

它 包括 6 个 阶段 ,准备 检测、 抑制 .根除 ,恢复 和 跟踪 ( 称 为 PDCERF 方法 )。 


1. 准备 阶段 


第 1 个 阶段 是 准备 , 即 在 事件 真正 发 生前 为 事件 响应 做 好 准备 。 这 一 阶段 极为 重 
要 ,因为 当今 的 安全 事件 大 多 数 都 是 复杂 且 费 时 的 ,准备 是 必须 的 而 不 是 一 种 奢侈 。 准 
备 阶段 具体 措施 如 下 : 

。 基于 威胁 建立 一 组 合理 的 防御 /控制 措施 。 

。 建立 一 组 尽 可 能 高 效 的 事件 处 理 程序 。 

”获得 处 理 问题 必须 的 资源 和 人 员 。 

。 建立 一 个 支持 事件 响应 活动 的 基础 设施 。 


2. 检测 阶段 


就 事件 响应 而 言 ,检测 和 入 侵 检 测 并 不 是 同义词 。 检 测 意 味 着 弄 清 是 否 出 现 了 恶意 
代码 ,文件 和 目录 是 否 被 自 改 或 者 出 现 其 他 的 特征 ;如 果 是 的 话 ,问题 在 哪里 ? 影响 范围 
有 多 大 ? 入 侵 检测 最 常见 的 含义 是 在 确定 对 系统 的 非 授 权 访 问 和 滥用 中 是 否 发 生 入 侵 
行为 。 比 如 ,病毒 感染 可 以 用 病毒 检测 软件 而 不 是 入 侵 检测 软件 来 发 现 。 因 此 ,检测 包 
含 的 范围 要 比 人 侵 检 测 宽广 得 多 。 

从 操作 的 角度 来 讲 , 事 件 响 应 过 程 中 所 有 的 动作 都 依赖 于 检测 。 坦 率 地 说 ,没有 检 
测 , 就 没有 真正 意义 上 的 事件 响应 ,检测 触发 了 事件 的 响应 。 这 一 点 大 大 提升 了 检测 在 
其 他 5 个 阶段 的 相对 重要 性 。 


3. 抑制 阶段 


抑制 的 目的 是 限制 攻击 的 范围 ,同时 也 就 限制 了 潜在 的 损失 和 破坏 。 抑 制 相关 的 活 
动 当然 只 有 在 第 2 阶段 观察 到 事件 的 确 已 经 发 生 的 基础 上 才能 进行 。 

抑制 阶段 一 个 关键 的 部 分 是 决策 (也 就 是 决定 做 什么 ,才能 减 小 损失 或 破坏 的 范 
围 ) 。 决 策 包括 下 列 一 些 措施 。 

。 完全 关闭 所 有 系统 。 

。 断 开 外 部 网 络 。 这 样 至 少 允 许 本 地 用 户 获 得 一 定 的 服务 。 
修改 所 有 防火 墙 和 路 由 器 的 过 滤 规 则 ,拒绝 来 自发 起 攻击 主机 的 所 有 的 流量 。 
封锁 或 删除 被 攻破 的 登录 账号 。 
提高 系统 或 网 络 行为 的 监控 级 别 。 
设置 诱饵 服务 器 作为 陷阱 ,陷阱 及 伪装 手段 ”。 
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。 关闭 服务 ,比如 文件 传输 服务 ,如 果 服 务 中 的 漏洞 被 利用 的 话 。 
。 反击 攻击 者 的 系统 ,一 般 来 说 应 该 避免 这 样 做 ,而 且 在 得 到 上 级 管理 层 明 确 的 同 
意 之 前 ,一 定 不 要 这 样 做 。 


4. 根除 阶段 


在 事件 被 抑制 以 后 , 找 出 事件 根源 并 彻底 将 其 根除 。 

软件 对 根除 工作 是 很 有 帮助 的 ,比如 , 防 病毒 软件 可 以 消灭 大 多 数 感染 系统 的 病毒 ， 
如 果 有 在 抑制 阶段 就 应 该 消除 的 特洛伊 木马 程序 (其 他 后 门 程序 或 其 他 使 得 事件 传播 的 
因素 ) 此 时 还 驻 留 在 系统 中 ,就 该 将 其 彻底 清除 。 若 用 户 的 系统 被 极其 危险 的 恶意 病毒 
感染 ,清除 病毒 并 重新 格式 化 所 有 包含 感染 文件 硬盘 是 最 佳 的 选择 。 


5. 恢复 阶段 


PDCERF 事件 响应 方法 学 的 第 5 个 阶段 是 恢复 。 在 事件 的 根源 根除 以 后 ,恢复 阶段 
定义 下 一 阶段 的 行动 。 恢 复 的 目标 是 把 所 有 被 攻破 的 系统 和 网 络 设备 彻底 地 还 原 到 它 
们 正常 的 任务 状态 。 

恢复 时 ,从 确保 完好 的 介质 上 执行 一 次 完整 的 系统 恢复 。 这 种 策略 能 提供 高 度 的 可 
靠 性 ,保证 系统 和 网 络 部 件 确实 回 到 他 们 正常 的 操作 状态 。 注 意 , 如 果 攻 击 者 获得 了 超 
级 用 户 的 访问 权 , 一 次 完整 的 恢复 应 该 强制 性 地 修改 所 有 的 口令 。 

数据 恢复 应 该 十 分 小 心 。 一 种 较为 安全 的 方法 是 从 最 新 的 完全 备份 中 恢复 数据 , 另 
一 种 方法 是 从 容错 系统 硬件 (如 元 余 磁 盘 阵 列 RAID) 中 恢复 镜像 的 数据 。 当 然 , 必须 保 
证 这 些 文件 和 数据 没有 被 破坏 。 


6. 跟踪 阶段 


PDCERF 方法 学 的 最 后 一 个 阶段 是 跟踪 ,其 整体 目标 是 回顾 并 整合 发 生 事件 的 相关 
信息 。 不 幸 的 是 ,跟踪 是 最 有 可 能 被 忽略 的 阶段 (部 分 原因 是 资源 有 限 而 且 事件 处 理 人 
员 在 事件 恢复 后 已 经 筋疲力尽 )。 然 而 ,这 一 阶段 也 是 非常 关键 的 ,如 果 这 一 步 被 忽略 ， 
很 难 预想 事件 响应 工作 的 成 功率 有 多 大 。 

追踪 网 络 攻击 有 多 种 不 同 的 意思 ,这 取决 于 这 个 术语 的 使 用 场合 。 狭 义 上 来 说 ,就 
是 找到 事件 发 生 的 源头 。 在 大 多 数 情 况 下 是 指 发 现 IP 地 址 、MAC 地 址 或 认证 的 主机 
名 。 在 另 一 方面 来 说 它 是 指 确定 攻击 者 的 身份 。 

追踪 漏洞 扫描 是 一 个 比较 特殊 的 问题 。 在 大 部 分 网 络 环境 下 ,漏洞 扫描 是 经 常 发 生 
的 事情 。 现 实 中 ,追踪 扫描 和 追踪 人 侵 前 兆 是 不 同类 型 的 事件 。 称 为 攻击 追踪 可 能 更 好 
一 些 , 但 也 许 扫描 追踪 是 最 合适 的 称呼 。 但 关键 的 是 追踪 扫描 源 是 一 件 极 不 具 效 率 的 事 
情 ,因为 大 量 的 扫描 是 来 自 合法 的 被 攻陷 的 主机 。 而 且 每 天 如 此 大 量 的 扫描 使 得 用 户 无 
法 去 追踪 源头 。 因 此 这 件 事变 得 非常 的 不 现实 。 虽然 必须 注意 扫描 这 个 问题 ,但 在 大 多 
数 情况 下 如 果 去 追踪 源头 就 太 浪费 时 间 和 资源 了 。 
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933 IDS 入 侵 特 征 库 创建 和 解析 


IDS 要 有 效 地 捕捉 和 人 侵 行为 ,必须 拥有 一 个 强大 的 人 侵 特征 数据 库 , 这 就 如 同 公安 部 
门 必须 拥有 健全 的 罪犯 信息 库 一 样 。 但 是 ,IDS 一 般 所 带 的 特征 数据 库 都 比较 死板 , 遇 到 
“变脸 ”的 入侵 行为 往往 相逢 不 相识 。 因 此 ,管理 员 有 必要 学 会 如 何 创建 满足 实际 需要 的 
特征 数据 样板 ,做 到 以 不 变 应 万 变 ,在 这 里 ,将 对 入 侵 特 征 的 概念 ,种 类 以 及 如 何 创建 特 
征 进行 介绍 ,以 帮助 读者 掌握 对 付 和 人 侵 者 “变脸 ”的 方法 。 


1. 特征 (signature) 的 基本 概念 


IDS 中 的 特征 就 是 指 用 于 判别 通信 信息 种 类 的 样板 数据 ,通常 分 为 多 种 ,以 下 是 一 些 
典型 识别 方法 。 

。 来自 保留 IP 地 址 的 连接 企图 。 可 通过 检查 IP 报头 (IP header) 的 来 源 地 址 轻易 
地 识别 。 
带 有 非法 TCP 标志 联合 物 的 数据 包 。 可 通过 对 比 TCP 报头 中 的 标志 集 与 已 知 
正确 和 错误 标记 联合 物 的 不 同 点 来 识别 。 
含有 特殊 病毒 信息 的 E-mail。 可 通过 对 比 每 封 E-mail 的 主题 信息 和 病态 E-mail 
的 主题 信息 来 识别 ,或 者 通过 搜索 相似 的 特定 名 字 来 识别 。 
查询 负载 中 的 DNS 缓冲 区 溢出 企图 。 可 通过 解析 DNS 域 及 检查 每 个 域 的 长 度 
来 识别 利用 DNS 域 的 缓冲 区 溢出 企图 。 还 有 另外 一 个 识别 方法 是 ,在 负载 中 搜 

&“ 壳 代码 利用 ”(exploit shellcode) 的 序列 代码 组 合 。 

通过 对 POP3 服务 器 发 出 成 百 上 千 次 同一 命令 而 导致 的 DoS 攻击 。 通 过 跟踪 记 
录 某 个 命令 连续 发 出 的 次 数 , 看 看 是 否 超过 了 预 设 上 限 ,而 发 出 报警 信息 。 
未 登录 情况 下 使 用 文件 和 目录 命令 对 FTP 服务 器 的 文件 访问 攻击 。 通 过 创建 具 
备 状态 跟踪 的 特征 样板 以 监视 成 功 登录 的 FTP 对 话 ,发 现 未 经 验证 却 发 登录 命 
令 的 入 侵 企图 。 

从 以 上 分 析 可 以 看 出 特征 的 涵盖 范围 很 广 , 有 简单 的 报头 域 数值 有 高 度 复杂 的 连 
接 状 态 跟 踪 、 有 扩展 的 协议 分 析 。 一 叶 即 可 知 秋 , 本 小 节 将 从 最 简单 的 特征 入 手 , 详 细 讨 
论 其 功能 及 开发 .定制 方法 。 

值得 注意 的 是 ,不 同 的 IDS 产品 具有 的 特征 功能 也 有 所 差异 。 例 如 ,有 些 网 络 IDS 
系统 只 允许 少量 地 定制 存在 的 特征 数据 或 者 编写 需要 的 特征 数据 ,而 一 些 网 络 则 允许 在 
大 范围 内 定制 或 编写 特征 数据 ,甚至 可 以 是 任意 一 个 特征 ;一 些 IDS 系统 只 能 检查 确定 
的 报头 或 负载 数值 ,另外 一 些 则 可 以 获取 任何 信息 包 的 任何 位 置 的 数据 。 


2. 特征 库 的 方式 


特征 是 检测 数据 包 中 的 可 疑 内 容 是 否 真正 “不 可 用 ”的 样板 ,也 就 是 “破坏 分 子 ”的 克 
隆 。 特 征 的 定制 或 编写 程度 可 粗 可 细 , 完 全 取决 于 实际 需求 。 或 者 只 是 判断 是 否 发 生 了 
异常 行为 而 不 确定 具体 是 什么 攻击 行为 ,从 而 节省 资源 和 时 间 ; 或 者 是 判断 出 具体 的 攻 
击 手段 或 漏洞 利用 方式 ,从 而 获取 更 多 的 信息 。 
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3. 报头 值 


报头 值 (header values) 的 结构 比较 简单 ,而 且 可 以 很 清楚 地 识别 出 异常 报头 信息 , 因 
此 ,特征 数据 的 首席 候选 值 就 是 报头 值 。 一 个 经 典 的 例子 是 ,明显 违背 RFC793 中 规定 
的 TCP 标准 .设置 了 SYN 和 FIN 标记 的 TCP 数据 包 。 这 种 数据 包 被 许多 入 侵 软件 采 
用 ,向 防火 墙 .路 由 器 以 及 IDS 系统 发 起 攻击 。 

非法 报头 值 是 特征 数据 的 一 个 非常 基础 的 部 分 ,合法 但 可 疑 的 报头 值 也 同等 重要 。 
例如 ,如 果 存 在 到 端口 31337 或 27374 的 可 疑 连接 ,就 完全 有 理由 怀疑 有 特洛伊 木马 在 
活动 ;再 附加 上 其 他 探测 信息 ,就 能 够 进一步 地 判断 是 “ 真 马 ?还 是 “ 假 马 ”。 


4. 确定 特征 “候选 人 ” 


为 了 更 好 地 理解 如 何 开发 基于 报头 值 的 特殊 数据 ,下 面 通过 分 析 一 个 实例 ,对 整个 
过 程 进行 详细 阐述 。 

Synscan 是 一 个 流行 的 用 于 扫描 和 探测 系统 的 工具 .由 于 它 的 代码 被 用 于 创建 蠕虫 
Ramen 的 开始 片断 而 在 2001 年 早期 大 出 风头 。Synscan 的 执行 行为 很 具 典 型 性 , 它 发 出 
的 信息 包 具 有 多 种 可 分 辨 的 特性 ,包括 如 下 特性 。 

。 不 同 的 来 源 IP 地 址 信息 。 
。TCP 来 源 端 口 21, 目 标 端口 21。 
”服务 类 型 0。 
IP 鉴定 号 码 39426(IP identification number) 。 
设置 SYN 和 FIN 标志 位 。 
不 同 的 序列 号 集合 (sequence numbers set) 。 
不 同 的 确认 号 码 集合 (acknowledgment numbers set) 。 
TCP 窗口 尺寸 1028 。 

通过 对 以 上 数据 进行 筛选 ,看 看 哪个 比较 合适 做 特征 数据 。 需 要 寻找 的 是 非法 、 异 
常 或 可 疑 数据 ,大 多 数 情况 下 ,这 都 反映 出 攻击 者 利用 的 漏洞 或 者 他 们 使 用 的 特殊 技术 。 
以 下 是 特征 数据 的 候选 对 象 。 

。 只 具有 SYN 和 FIN 标志 集 的 数据 包 , 这 是 公认 的 恶意 行为 迹象 。 

。 没有 设置 ACK 标志 ,但 却 具 有 不 同 确认 号 码 数 值 的 数据 包 , 而 正常 情况 应 该 
是 0。 

。 来 源 端口 和 目标 端口 都 被 设置 为 21 的 数据 包 , 经 常 与 FTP 服务 器 关联 。 这 种 端口 
相同 的 情况 一 般 被 称 为 “ 反 身 ”(reflexive) ,除了 个 别 时 候 进行 一 些 特别 NetBIOS 通 
信 外 ,正常 情况 下 不 应 该 出 现 这 种 现象 。“ 反 身 ” 端 口 本 身 并 不 违反 TCP 标准 ,但 大 
多 数 情况 下 它们 并 非 预期 数值 。 例 如 在 一 个 正常 的 FTP 对话 中 ,目标 端口 一 般 是 
21 ,而 来 源 端口 通常 都 高 于 1023。 

。TCP 窗口 尺寸 为 1028,IP 鉴定 号 码 在 所 有 数据 包 中 为 39 426。 根 据 IP RFC 的 
定义 ,这 2 类 数值 应 在 数据 包间 有 所 不 同 ,因此 ,如 果 持 续 不 变 , 就 表明 可 疑 。 
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5. 选择 最 佳 特征 


从 以 上 4 个 候选 对 象 中 ,可 以 单独 选 出 一 项 作为 基于 报头 的 特征 数据 ,也 可 以 选 出 
多 项 组 合作 为 特征 数据 。 

选择 一 项 数据 作为 特征 有 很 大 的 局 限 性 。 例 如 ,一 个 简单 的 特征 可 以 是 只 具有 SYN 
和 FIN 标志 的 数据 包 , 虽 然 这 可 以 很 好 地 提示 用 户 可 能 有 一 个 可 疑 的 行为 发 生 ,但 却 不 
能 给 出 为 什么 会 发 生 的 更 多 信息 。SYN 和 FIN 通常 联合 在 一 起 攻击 防火 墙 和 其 他 设 
备 ,只 要 有 它们 出 现 ,就 预示 着 扫描 正在 发 生 、 信 息 正在 收集 、 攻 击 将 要 开始 。 

选择 以 上 4 项 数据 联合 作为 特征 也 不 现实 ,因为 这 显得 有 些 太 特殊 了 。 尽 管 能 够 精 
确 地 提供 行为 信息 ,但 是 比 仅仅 使 用 一 个 数据 作为 特征 而 言 ,会 显得 远 远 缺乏 效率 。 实 
际 上 ,特征 定义 永远 要 在 效率 和 精确 度 间 取得 折 中 。 大 多 数 情 况 下 ,简单 特征 比 复杂 特 
征 更 倾向 于 误 报 (false positives) ;复杂 特征 比 简单 特征 更 倾向 于 漏 报 (false negatives) 。 

由 此 看 来 ,选择 最 佳 特征 是 没有 固定 标准 的 ,完全 应 由 实际 情况 决定 。 例 如 ,如 果 想 
判断 攻击 可 能 采用 的 工具 是 什么 ,那么 除了 SYN 和 FIN 标志 以 外 ,还 需要 其 他 什么 属 
性 ?“ 反 身 ” 端 口 虽然 可 疑 ,但 是 许多 工具 都 使 用 到 它 ,而 且 一 些 正常 通信 也 有 此 现象 , 因 
此 不 适宜 选 为 特征 。TCP 窗口 尺寸 1028 尽管 有 一 点 可 疑 ,但 也 会 自然 的 发 生 。IP 鉴定 
号 码 39426 也 一 样 。 没 有 ACK 标志 的 ACK 数值 很 明显 是 非法 的 ,因此 非常 适 于 选 为 特 
征 数据 。 当 然 ,根据 环 境 的 不 同 ,及 时 地 调整 或 组 合 特征 数据 ,才能 达到 最 优 效 果 。 


6. 一 个 特征 库 的 建立 


下 面 ,创建 一 个 特征 库 , 用 于 检测 由 Synscan 发 出 的 每 个 TCP 信息 包 , 特 征 如 下 : 

。 只 设置 了 SYN 和 FIN 标志 。 

。 IP 鉴定 号 码 为 39 426。 

。 TCP 窗口 尺寸 为 1028。 

第 一 个 项 目 太 普遍 ,第 二 个 和 第 三 个 项 目 联合 出 现在 同一 数据 包 的 情况 不 是 很 多 ， 
因此 ,将 这 三 个 项 目 组 合 起 来 就 可 以 定义 一 个 详细 的 特征 了 。 再 加 上 其 他 的 Synscan 属 
性 不 会 显著 地 提高 特征 的 精确 度 , 只 能 增加 资源 的 耗费 。 
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1. 入 侵 检测 系统 可 分 为 哪 几 类 ? 
2. 试 述 防火 墙 和 入 侵 检测 系统 的 基本 功能 及 其 应 用 范围 。 
3. 试 述 入 侵 检 测 系统 的 组 成 ,并 画 出 其 工作 流程 图 。 
4. 网 络 入 侵 基 本 的 检测 方法 有 哪些 ? 
5. 常用 的 入 侵 检 测 技术 有 哪些 ? 
6 


. 试 述 异 常 检测 模型 和 误 用 检测 模型 的 基本 功能 ,并 对 两 者 之 间 的 区 别 进行 分 析 。 
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101 瑞 口 扫描 原理 


1011 端口 的 概念 


1. 什么 是 端口 


在 计算 机 系统 中 ,端口 (port) 泛 指 1/0 端口 , 即 * 硬 件 端口 ,也 就 是 计算 机 的 物理 端 
口 , 如 计算 机 的 串口 .并口 .输入 /输出 设备 端口 .USB 接口 以 及 适配器 接口 ,网络 连 接 设 
备 集线器 .交换 机 和 路 由 器 的 连接 端口 等 ,这 些 端口 都 是 可 见 的 硬件 接口 。 

在 计算 机 网 络 通信 技术 中 ,端口 不 是 物理 意义 上 的 端口 ,而 是 特 指 TCP/IP 协议 中 
的 端口 ,是 馆 辑 意义 上 的 端口 ,TCP/IP 协议 中 端口 分 为 两 大 类 ,面向 连接 服务 的 “TCP 
端口 "和 无 连接 服务 的 “UDP 端口 "。 在 本 章 中 ,主要 介绍 TCP 端口 。 

TCP/UDP 端口 指 的 是 什么 呢 ? 如果 把 计算 机 网 络 比 作 一 间 大 屋子 ,那么 端口 就 是 
出 入 这 间 屋 子 的 “通道 ”, 或 说 成 是 出 入 这 间 屋 子 的 “大 门 ”。 换 句 话 说 ,端口 是 用 户 与 计 
算 机 网 络 的 接口 ,人 们 是 通过 端口 与 网 络 打交道 的 。 这 里 指 的 端口 是 看 不 见 的 “软件 端 
口 "。 在 本 书 中 ,所 涉及 的 端口 泛 指 的 是 这 种 “软件 端口 ”。 

在 日 常生 活 中 ,“ 门 * 上 都 有 “门牌 号 "作为 标记 ,而 TCP 端口 是 通过 端口 号 来 标 
记 的 。 
端口 是 一 组 号 码 , 占 16 个 二 进 制 位 ,其 范围 为 0 一 65 535, 服 务 器 在 预 设置 端口 等 待 
客户 端的 连接 。 例 如 , WWW 服务 使 用 TCP 的 80 号 端口 ,FTP 使 用 21 号 端口 ,Telnet 
的 端口 号 为 23 等 。 

端口 定义 了 TCP/UDP 和 上 层 应 用 程序 之 间 的 接口 点 。 客 户 程序 可 任意 选择 端口 
号 ,服务 程序 则 使 用 固定 的 标准 端口 号 ,IP 地 址 和 端口 号 的 组 合成 为 套 接 字 Socket, 在 一 
个 主机 上 是 唯一 的 。 一 条 连接 由 客户 端 和 服务 器 的 套 接 字 组 成 。 

例如 ,在 图 10-1 中 有 3 个 用 户 通过 Telnet 登录 到 服务 器 C 上 ,一 共有 3 个 连接 , 表 
示 为 : 

(202. 112. 97. 82,500) 与 (202. 112. 97. 94,23) 连 接 

(202. 112. 97. 82,501) 与 (202. 112. 97. 94,23) 连 接 
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(202. 112. 97. 84,500) 与 (202. 112. 97. 94,23) 连 接 


A 


端口 500 


端口 sal 


TP=202.112.97.82 


B 


EE lP=202.112.97.94 


TP=202.112.97.84 
端口 500 


图 10-1 TCP 端口 连接 


对 攻击 者 来 讲 ,每 一 个 端口 就 是 一 个 入 侵 通 道 。 对 目标 计算 机 进行 端口 扫描 ,能 得 
到 许多 有 用 的 信息 ,从 而 发 现 系 统 的 安全 漏洞 。 在 TCP/IP 网 络 协议 中 ,各 种 服务 提供 的 
服务 端口 ,网 上 的 服务 器 及 终端 计算 机 都 是 通过 端口 进行 通信 和 提供 服务 的 。 在 计算 机 
网 络 中 ,每 个 特定 的 服务 都 在 一 个 特定 的 端口 侦 听 , 当 用 户 有 信息 到 达 时 ,终端 计算 机 就 
会 检查 数据 包 中 的 端口 号 ,在 这 个 特定 的 端口 侦 听 的 服务 就 是 接收 数据 。 常 用 的 TCP 
端口 如 表 10-1 所 示 。 


表 10-1 常用 TCP 端口 分 配 表 


序 号 | 端口 号 协 议 序 号 | 端口 号 协 议 
1 13 Daytime( 日 期 时 间 协 议 ) 8 53 Domin( 域 ) 
20 FTP 数据 连接 9 69 平凡 文件 传输 协议 FFTP 
3 21 FTP 控制 连接 10 79 Finger 协议 
4 23 TELNET 协议 11 80 WWW 协议 
5 25 SMTP 协议 12 110 “| POP 协议 
6 37 时 间 协 议 13 139 “| NetBIOS 协议 
7 43 Whois( 信 息 查 询 协议 ) 14 3389 “| Windows 2000 超级 终端 协议 
2. 端口 的 分 类 


按 端口 号 分 布 划分 ,可 分 为 周知 端口 和 动态 端口 。 

1) 周知 端口 (well known ports) 

顾名思义 “周知 端口 ?是 众所周知 的 端口 ,也 就 是 常用 的 端口 ,端口 号 在 0 一 1023 之 
间 。 周 知 端口 通常 是 相对 固定 的 端口 ,例如 80 端口 分 配给 WWW 服务 ,21 端口 分 配给 
FTP 服务 等 。 在 I 下 的 地 址 栏 里 输入 一 个 网 址 的 时 候 ( 比 如 www. cce. com. cn) 是 不 必 指 
定 端口 号 的 ,因为 在 默认 情况 下 WWW 服务 的 端口 号 是 80。TCP/UDP 端口 分 配 详细 情 
况 请 参见 http: //www. iana. org 网 站 的 Most Popular Links 项 下 的 TCP and UDP Port 
Numbers 。 

网 络 服务 是 可 以 使 用 其 他 端口 号 的 ,如 果 不 是 默认 的 端口 号 则 应 该 在 地 址 栏 上 指定 
端口 号 ,方法 是 在 地 址 后 面 加 上 冒号 : ”, 再 加 上 端口 号 。 比 如 使 用 8080 作为 WWW 服 
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务 的 端口 , 则 需要 在 地 址 栏 里 输入 www. cce. com. cn:8080。 

但 是 有 些 系统 协议 使 用 固定 的 端口 号 , 它 是 不 能 被 改变 的 ,比如 139 端口 专门 用 于 
NetBIOS 与 TCP/IP 之 间 的 通信 ,不 能 手动 改变 。 

2) 动态 端口 (dynamic ports) 

动态 端口 的 范围 是 1024 一 65 535。 之 所 以 称 为 动态 端口 ,是 因为 它 一 般 不 固定 分 配 
某 种 服务 ,而 是 动态 分 配 。 动 态 分 配 是 指 当 一 个 系统 进程 或 应 用 程序 进程 需要 网 络 通信 
时 , 它 向 主机 申请 一 个 端口 ,主机 从 可 用 的 端口 号 中 分 配 一 个 供 其 使 用 。 当 这 个 进程 关 
闭 时 ,同时 也 就 释放 了 所 占用 的 端口 号 。 

动态 端口 也 常常 被 病毒 木马 程序 所 利用 ,而 且 有 一 定 的 对 应 关系 ,如 冰河 木马 默认 
连接 端口 是 7626、WAY 2.4 病毒 连接 的 端口 是 8011、Netspy 3. 0 连接 的 端口 是 7306、 
YAI 病毒 连接 的 端口 是 1024 等 。 

按 协 议 类 型 划分 ,可 以 分 为 TCP、UDP、IP 和 ICMP 等 端口 。 在 本 章 中 介绍 的 端口 
是 TCP 和 UDP 端口 。 

1) TCP 端口 

TCP 端口 , 即 传输 控制 协议 端口 ,需要 在 客户 端 和 服务 器 之 间 建 立 连接 ,这 样 可 以 提 
供 可 靠 的 数据 传输 。 常 见 的 包括 FTP 服务 的 21 端口 ,Telnet 服务 的 23 端口 .SMTP 服 
务 的 25 端口 以 及 HTTP 服务 的 80 端口 等 。 

2) UDP 端口 

UDP 端口 , 即 用 户 数据 包 协 议 端口 ,无需 在 客户 端 和 服务 器 之 间 建 立 连接 ,其 安全 性 
得 不 到 保障 。 常 见 的 有 DNS 服务 的 53 端口 ,SNMP 服务 的 161 端口 以 及 QQ 使 用 的 
8000 和 4000 端口 等 。 


3. 常见 端口 服务 功能 


1) 端口 : 0 

服务 : Reserved 

说 明 : 通常 用 于 分 析 操 作 系 统 。 这 一 方法 能 够 工作 是 因为 在 一 些 系统 中 0 是 无 效 端 
口 , 当 试图 使 用 通常 的 闭合 端口 连接 它 时 将 产生 不 同 的 结果 。 一 种 典型 的 扫描 是 使 用 IP 
地 址 为 0.0.0.0, 设 置 ACK 位 并 在 以 太 网 层 广播 。 

2) 端口 : 1 

服务 : tcpmux 

说 明 : 这 显示 有 人 在 寻找 SGI Irix 机 器 。Irix 是 实现 tcpmux 的 主要 提供 者 ,默认 情 
况 下 tcpmux 在 这 种 系统 中 被 打开 。Irix 机 器 在 发 布 时 含有 几 个 默认 的 无 密码 的 账户 ， 
如 IP.GUEST UUCPNUUCP.DEMOS .TUTOR 、DIAG 和 OUTOFBOX 等 。 许 多 管 
理 员 在 安装 后 忘记 删除 这 些 账户 ,因此 黑客 可 在 Internet 上 搜索 tcpmux 并 利用 这 些 


服务 : Echo 
说 明 : 能 查看 到 许多 人 搜索 Fraggle 放大 器 时 .发 送 到 X. X. X. 0 和 X. X. X. 255 的 
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4) 端口 : 19 

服务 : Character Generator 

说 明 : 这 是 一 种 仅仅 发 送 字 符 的 服务 。UDP 版 本 将 会 在 收 到 UDP 包 后 回应 含有 垃 
圾 字符 的 包 。TCP 连接 时 会 发 送 含有 垃圾 字符 的 数据 流 直 到 连接 关闭 。 黑 客 利 用 IP 其 
骗 可 以 发 动 DoS 攻击 。 伪 造 两 个 chargen 服务 器 之 间 的 UDP 包 。 同 样 Fraggle DoS 攻 
击 向 目标 地 址 的 这 个 端口 广播 一 个 带 有 伪造 受害 者 IP 的 数据 包 ,受害 者 为 了 回应 这 些 
数据 而 使 网 络 过 载 。 

5) 端口 : 21 

服务 : FTP 

说 明 : FTP 服务 器 所 开放 的 端口 ,用 于 上 传 .下载 文件 。 最 常见 的 攻击 者 用 于 寻找 
打开 anonymous 的 FTP 服务 器 的 方法 。 这 些 服 务 器 带 有 可 读 写 的 目录 。 木 马 Doly 
Trojan、Fore Invisible FTP、WebEx、WinCrash 和 Blade Runner 都 会 开放 这 一 端口 。 

6) 端口 : 22 

服务 : ssh 

说 明 : PcAnywhere 建立 的 TCP 和 这 一 端口 的 连接 可 能 是 为 了 寻找 ssh。 这 一 服务 
有 许多 弱点 ,如 果 配 置 成 特定 的 模式 ,许多 使 用 RSAREF 库 的 版 本 就 会 有 不 少 的 漏洞 
存在 。 

7) 端口 : 23 

服务 : Telnet 

说 明 : 远程 登录 ,入 侵 者 在 搜索 远程 登录 UNIX 的 服务 。 大 多 数 情况 下 扫描 这 一 端 
口 是 为 了 找到 机 器 运行 的 操作 系统 。 木 马 Tiny Telnet Server 开放 端口 就 是 23 。 

8) 端口 : 25 

服务 : SMTP 

说 明 : SMTP 服务 器 所 开放 的 端口 ,用 于 发 送 邮 件 。 入 侵 者 寻找 SMTP 服务 器 是 为 
了 传递 SPAM (垃圾 邮件 )。 木 马 Antigen、 E-mail Password Sender、 Haebu Coceda、 
Shtrilitz Stealth、WinPC 和 WinSpy 开放 的 都 是 这 个 端口 。 

9) 端口 : 31 

服务 : MSG Authentication 

说 明 : 木马 Master Paradise、 黑 客 Paradise 开放 此 端口 。 

10) 端口 : 42 

服务 : WINS Replication 

说 明 : WINS 复制 。 

11) 端口 : 53 

服务 : Domain Name Server(DNS) 

说 明 : DNS 服务 器 所 开放 的 端口 ,入 侵 者 可 能 是 试图 进行 区 域 传递 (TCP) ,欺骗 
DNSCUDP) 或 隐藏 其 他 的 通信 ,因此 防火 墙 常常 过 滤 或 记录 此 端口 。 
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12) 端口 : 67 

服务 : Bootstrap Protocol Server 

说 明 : 通过 DSL 和 Cable modem 的 防火 墙 常会 看 见 大 量 发 送 到 广播 地 址 255. 255. 
255. 255 的 数据 。 这 些 机 器 在 向 DHCP 服务 器 请 求 一 个 地 址 。 黑 客 经 常 进入 它们 ,分 配 
一 个 地 址 把 自己 作为 局 部 路 由 器 而 发 起 大 量 中 间 人 (man-in-middle) 攻 击 。 客 户 端 向 68 
端口 广播 请 求 配置 ,服务 器 向 67 端口 广播 回应 请 求 。 

13) 端口 : 69 

服务 : Trival File Transfer 

说 明 : 许多 服务 器 与 bootp 一 起 提供 这 项 服务 ,便于 从 系统 下 载 启动 代码 。 常 常 由 
于 错误 配置 而 使 人 侵 者 能 从 系统 中 窃取 任何 文件 。 

14) 端口 : 79 

服务 : Finger Server 

说 明 : 入侵 者 用 于 获得 用 户 信息 ,查询 操作 系统 ,探测 已 知 的 缓冲 区 溢出 错误 ,回应 
从 自己 机 器 到 其 他 机 器 Finger 扫描 。 

15) 端口 : 80 

服务 : HTTP 

说 明 : 用 于 网 页 浏览 。 木 马 Executor 开放 此 端口 。 

16) 端口 : 99 

服务 : Metagram Relay 

说 明 : 后 门 程序 ncx99 开放 此 端口 。 

17) 端口 : 102 

服务 : Message transfer agent(MTA)-X. 400 over TCP/IP 

说 明 : 消息 传输 代理 。 


1012 端口 扫描 原理 


端口 有 两 种 : UDP 端口 和 TCP 端口 。 由 于 UDP 端口 是 面向 无 连接 的 ,从 原理 的 角 
度 来 看 ,没有 被 扫描 的 可 能 ,或 者 说 不 存在 一 种 迅速 而 又 通用 的 扫描 算法 ;而 TCP 端口 
具有 连接 定向 (connection oriented) 的 特性 ( 即 是 有 面向 连接 的 协议 ) ,为 端口 的 扫描 奠定 
了 基础 ,所 以 ,本 章 介绍 的 端口 扫描 技术 ,是 基于 TCP 端口 的 。TCP 建立 连接 时 有 3 次 
握手 ,首先 ,Client 端 往 Server 某 一 端口 发 送 请 求 连接 的 SYN 包 , 如 果 Server 的 这 一 端 
口 允许 连接 ,就 会 给 Client 端 发 一 个 ACK 回 包 ,Client 端 收 到 Server 的 ACK 包 后 再 给 
Server 端 发 一 个 ACK 包 ,TCP 连接 正式 建立 ,这 就 是 连接 成 功 的 过 程 ,如 图 10-2 所 示 。 


Step 1-Client sends SYN to Server 后 |] 
岛 Step 2-Server sends SYN/ACK to Client 
Step 3-Client sends ACK to Server | 
客户 机 y 


服务 器 


图 10-2 TCP 连接 成 功 的 响应 过 程 
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当 Client 端 往 Server 某 一 端口 发 送 请 求 连接 的 SYN 包 , 此 时 若 Server 的 这 一 端口 不 允 
许 连接 ,就 会 给 Client 端 发 一 个 RST 回 包 ,Client 端 收 到 Server 的 RST 包 后 再 给 Server 
端 发 一 个 RST 包 , 这 就 是 连接 失败 的 过 程 ,如 图 10-3 所 示 。 基 于 连接 的 建立 过 程 , 可 以 
想到 ,假如 要 扫描 某 一 个 TCP 端口 ,可 以 往 该 端口 发 一 个 SYN 包 , 如 果 该 端口 处 于 打开 
状态 ,就 可 以 收 到 一 个 ACK。 也 就 是 说 ,如 果 收 到 ACK ,就 可 以 判断 目标 端口 处 于 打开 
状态 ,否则 ,目标 端口 处 于 关闭 状态 。 这 就 是 TCP 端口 扫描 的 基本 原理 。 


Step 1-Client sends SYN to Server GE 
Step 2-Server sends RST/ACK to Client 目 
Step 3-Client sends RST to Server 国 
客户 机 服务 器 
图 10-3 “TCP 连接 失败 的 响应 过 程 


“端口 扫描 ”通常 指 对 目标 计算 机 的 所 有 需要 扫描 的 端口 发 送 同一 信息 ,然后 根据 返 
回 端口 状态 来 分 析 目 标 计算 机 的 端口 是 否 打 开 、 是 否 可 用 .“ 端 口 扫描 ”行为 的 一 个 重要 
特征 是 ,在 短 时 期 内 有 很 多 来 自 相同 的 信 源 地 址 传 向 不 同 的 目的 地 端口 的 包 。 

对 于 用 端口 扫描 进行 攻击 的 人 来 说 ,攻击 者 总 是 可 以 做 到 在 获得 扫描 结果 的 同时 ， 
使 自己 很 难 被 发 现 或 者 说 很 难 被 逆向 跟踪 。 为 了 隐藏 攻击 ,攻击 者 可 以 慢 慢 地 进行 扫 
描 。 通 常 来 说 ,用 长 时 间 间 隔 的 端口 扫描 是 很 难 被 识别 的 。 隐 藏 源 地 址 的 方法 是 发 送 大 
量 的 ( 数 千 个 或 上 万 个 ) 欺 骗 性 的 端口 扫描 包 , 其 中 只 有 一 个 包 的 源 地 址 是 真实 的 。 这 
样 ,即使 全 部 包 都 被 拦截 并 被 记录 下 来 ,要 想 辨 别 哪 一 个 是 真正 的 信 源 地 址 也 是 很 困难 
只 有 一 个 包 的 源 地 址 是 真实 的 。 
通常 进行 端口 扫描 的 工具 主要 采用 的 是 端口 扫描 软件 ,也 通称 之 为 “端口 扫描 器 ”， 
端口 扫描 可 以 提供 以 下 3 个 用 途 : 

。 识别 目标 系统 上 正在 运行 的 TCP 协议 和 UDP 协议 服务 。 

。 识别 目标 系统 的 操作 系统 类 型 (Windows 2000/XP、Windows NT 或 UNIX 等 ) 。 

。 识别 某 个 应 用 程序 或 某 个 特定 服务 的 版 本 号 。 

端口 扫描 器 是 一 种 自动 检测 远程 或 本 地 计算 机 安全 性 弱点 的 程序 ,甚至 使 用 扫描 器 
可 不 留 痕迹 的 发 现 远程 服务 器 的 各 种 TCP 协议 端口 的 分 配 及 提供 的 服务 ,可 以 得 知 它 
们 所 使 用 的 软件 版 本 ,这 就 能 间接 地 了 解 到 远程 计算 机 所 存在 的 安全 缺陷 。 

端口 扫描 器 通过 选用 远程 TCP/IP 协议 不 同 端口 的 服务 ,记录 目标 计算 机 端口 给 予 
的 应 答 方法 ,可 以 搜集 到 很 多 关于 目标 计算 机 的 信息 。 比 如 ,是 否 有 端口 在 侦 听 ,是 否 允 
许 匿名 登录 ,是 否 有 可 写 的 FTP 目录 ,是 否 能 用 Telnet 等 。 

端口 扫描 器 并 不 是 一 个 直接 攻击 网 络 漏洞 的 程序 , 它 仅 仅 能 帮助 发 现 目标 机 的 某 些 内 
在 的 弱点 。 一 个 好 的 扫描 器 还 能 对 它 得 到 的 数据 进行 分 析 , 帮 助 查找 目标 计算 机 的 漏洞 。 

端口 扫描 器 在 扫描 过 程 中 主要 具有 以 下 3 个 方面 的 能 力 : 

。 发 现 一 个 计算 机 或 网 络 的 能 力 。 

。 一 旦 发 现 一 台 计算 机 ,就 可 发 现 目标 计算 机 正在 运行 什么 服务 的 能 力 。 

。 通过 测试 目标 计算 机 上 的 这 些 服务 ,发 现存 在 的 漏洞 的 能 力 。 

编写 扫描 器 程序 必须 要 具有 很 多 TCP/IP 协议 程序 编写 .C、Perl 或 SHELL 语言 
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知识 ,需要 一 些 Socket 编程 的 背景 ,还 需 一 种 在 开发 客户 /服务 应 用 程序 的 方法 。 
1013 常用 端口 和 漏洞 扫描 技术 


端口 扫描 就 是 得 到 目标 主机 开放 和 关闭 的 端口 列表 ,这 些 开放 的 端口 往往 与 一 定 的 
服务 相对 应 ,通过 这 些 开放 的 端口 ,就 能 了 解 主 机 运行 的 服务 ,然后 就 可 以 进一步 整理 和 
分 析 这 些 服务 可 能 存在 的 漏洞 .随后 采取 针对 性 的 攻击 。 


1. TCP connect 扫描 


这 是 最 基本 的 扫描 方式 。 如 果 目 标 主机 上 的 某 个 端口 处 于 侦 听 状态 ,可 根据 其 IP 
地 址 和 端口 号 并 调用 connect() 与 其 建立 连接 。 若 目标 主机 未 开放 该 端口 , 则 connect 操 
作 失 败 。 因 此 ,使 用 这 种 方法 可 以 检测 到 目标 主机 开放 了 哪些 端口 。 注 意 ,在 执行 这 种 
扫描 方式 时 ,不 需要 对 目标 主机 拥有 任何 权限 。 


2. TCP SYN 扫描 


这 种 技术 通常 认为 是 “ 半 ” 扫 描 ,因为 扫描 程序 不 必 与 目标 主机 三 次 握手 就 可 建立 一 
个 完全 的 TCP 连接 。 扫 描 程序 发 送 一 个 SYN 数据 包 , 等 待 目 标 主机 的 应 答 。 如 果 目 标 
主机 返回 SYN|ACK ,表示 端口 处 于 侦 听 状态 。 若 返回 RST, 表 示 端 口 没 有 处 于 侦 听 状 
态 。 如 果 收 到 一 个 SYNIACK, 则 扫描 程序 发 送 一 个 RST 数据 包 ,来 终止 这 个 连接 。 这 
种 扫描 技术 的 优点 在 于 一 般 不 会 在 目标 计算 机 上 留 下 痕迹 。 但 要 求 攻击 者 在 发 起 攻击 
的 计算 机 上 必须 有 root 权限 ,因为 不 是 通过 connect 调用 来 扫描 端口 ,必须 直接 在 网 络 
上 向 目标 主机 发 送 SYN 和 RST 数据 包 。 


3. TCP FIN 扫描 


一 些 防火 墙 和 包 过 滤器 会 对 一 些 指定 的 端口 进行 监视 ,因此 TCP SYN 扫描 攻击 可 
能 会 被 检测 并 记录 下 来 。FIN 数据 包 可 以 通过 它们 而 不 留 痕迹 。 向 目标 主机 的 某 个 端 
口 发 送 FIN 数据 包 , 若 端口 处 于 侦 听 状态 ,目标 主机 不 会 回复 FIN 数据 包 。 相 反 , 若 端 
口 未 被 侦 听 ,目标 主机 会 用 适当 的 RST 来 回复 。 这 种 方法 依赖 于 系统 的 实现 。 某 些 系 
统 对 所 有 的 FIN 一 律 回复 RST, 而 不 管 端口 是 否 打开 ,在 这 种 情况 下 ,TCP FIN 扫描 是 
不 适用 的 。 


4. IP 分 片 扫 描 


这 种 方法 并 不 直接 发 送 TCP 探测 数据 包 , 而 是 预先 将 数据 包 分 成 两 个 较 小 的 IP 数 
据 包 传送 给 目标 主机 。 目 标 主机 收 到 这 些 IP 包 后 ,会 把 它们 组 合 还 原 为 原先 的 TCP 探 
测 数据 包 。 将 数据 包 分 片 的 目的 是 使 它们 能 够 通过 防火 墙 和 包 过 滤器 ,将 一 个 TCP 分 
为 几 个 较 小 的 数据 包 , 可 能 会 穿 过 防火 墙 而 到 达 目 标 主机 。 


5. TCP 反 向 ident 扫描 
ident 协议 (RFC 1413) 人 允许 通过 TCP 连接 列 出 任何 进程 拥有 者 的 用 户 名 (包含 该 进 
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程 拥有 何 种 权限 )。 因 此 ,扫描 器 能 连接 到 http 端口 ,然后 检查 httpd 是 否 正在 以 root 权 


限 运行 。 
6. FTP 反射 攻击 


FTP 协议 的 一 个 特性 是 支持 代理 (proxy)FTP 连接 。 即 入 侵 者 可 以 通过 自己 的 计 
算 机 和 目标 主机 的 FTP server-PI( 协 议 解释 器 ) 连 接 , 建 立 一 个 控制 通信 连接 。 然 后 ,请 
求 这 个 server-PI 激活 一 个 有 效 的 server_DTP( 数 据 传输 进程 ) 来 给 Internet 的 任何 地 方 
发 送 文件 。 

7. UDP 端口 扫描 


这 种 方法 与 上 面 几 种 方法 的 不 同 之 处 在 于 使 用 UDP 协议 。 由 于 UDP 协议 较 TCP 
简单 ,所 以 要 判断 一 个 端口 是 否 被 侦 听 较为 困难 。 这 是 由 于 处 于 侦 听 状态 的 端口 对 扫描 
探测 并 不 发 送 确认 ,而 未 侦 听 的 端口 也 并 不 会 返回 错误 数据 包 。 


8. UDP recvfrom() 和 write() 扫 描 


车 在 发 起 攻击 的 计算 机 上 没有 root 权限 ,就 不 能 得 到 端口 不 可 达 的 ICMP_PORT 
UNREACH 错误 数据 包 。 在 Linux 中 可 以 间接 的 检测 到 是 否 收 到 了 目标 主机 的 这 个 应 答 
数据 包 。 例 如 ,对 一 个 未 侦 听 端口 的 第 二 个 write() 调 用 将 失败 。 在 非 阻 塞 的 UDP 套 接 字 
上 调用 recvfrom() 时 ,如 果 未 收 到 这 个 应 答 ,返回 EAGAIM( 其 意思 是 可 以 “ 重 试 "”)。 如 果 收 
到 这 个 应 答 , 则 返回 ECONNREFUSED( 连 接 被 拒绝 )。 可 以 根据 recvfrom() 和 write() 的 返 
回信 息 来 判断 目标 主机 是 否 发 送 了 ICMP_PORT_UNREACH 应 答 。 


9. ICMP_echo 扫描 


通过 执行 ping 命令 ,可 以 判断 出 在 一 个 网 络 上 主机 是 否 能 到 达 ( 即 主机 是 否 在 线 )。 
102 寓 用 扫描 命令 及 扫描 工具 


1021 常用 扫描 命令 
1. ping 命令 


ping 命令 主要 是 用 来 对 TCP/IP 网 络 进行 诊断 ,其 原理 是 通过 对 目标 计算 机 发 送 一 
个 IP 数 据 包 , 车 目标 计算 机 网 络 工作 正常 , 则 会 将 这 个 IP 数据 包 返 到 发 送 端 ,如 果 返 回 
的 数据 包 与 发 送出 去 的 数据 完全 一 致 ,说 明 ping 命令 成 功 ,否则 说 明 ping 失败 。 通 过 
ping 的 结果 可 以 判断 目标 计算 机 是 否 在 线 、 网 络 工 作 是 否 正常 .同时 还 能 知道 该 数据 包 
从 发 送 到 返回 需要 多 少时 间 。 

ping 命令 的 格式 为 : 
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ping 参数 ><hostname> 


其 中 hostname 为 目标 主机 名 (域名 或 IP 地 址 )。 

除 此 之 外 ,ping 命令 还 可 用 来 进行 网 络 攻 击 。 其 攻击 手段 是 通过 该 命令 给 目标 计算 
机 发 送 一 个 很 大 的 数据 包 , 目 标 计算 机 不 得 不 忙于 回应 ,从 而 大 量 地 消耗 目标 计算 机 的 
资源 。 可 用 下 面 的 命令 进行 攻击 : 


ping -1 n <hostname> 
命令 中 的 参数 ”为 发 送 数据 包 的 长 度 (以 字 节 为 单位 ) 

由 于 这 一 条 命令 可 以 给 目标 计算 机 发 送 一 个 很 大 的 数据 包 , 目 标 计 算 机 同样 要 接收 
并 返回 一 个 同样 大 的 数据 包 , 车 有 多 台 计 算 机 同时 向 某 一 台 目 标 计 算 机 发 送 a 
则 这 台 目 标 计算 机 就 会 因应 付 回 包 而 喘 不 过 气 来 ,严重 时 会 导致 网 络 拒绝 服务 甚至 瘫 
痪 ,这 就 达到 了 攻击 的 目的 

下 面 ,分 别 用 ping 命令 向 163. com 发 送 50 个 .5000 个 和 50 000 个 字 节 的 数据 包 ， 
其 运行 结果 如 图 10-4、 图 10-5 和 图 10-6 所 示 


图 10-5 ping 5000 个 字 节 数据 包 的 结果 


从 图 10-4 和 图 10-5 可 看 出 ,用 ping 命令 发 送 检测 包 时 ,发 送 5000 个 字 节 数据 包 返 
回 的 时 延明 显 比 发 送 50 个 字 节 数据 包 的 时 延长 得 多 。 若 发 送 50 000 个 字 节 长 的 数据 
包 , 则 会 发 生 超时 现象 ,如 图 10-6 所 示 。 
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\WINDOWS'system3Z\emd.exe 


4 188x loss), 


图 10-6 ping 超 时 


2. tracert 命令 
tracert 命令 用 来 跟踪 一 个 数据 包 发 送 


-个 路 由 所 需 的 时 延 
例如 ,从 主机 10. 1. 


目标 计算 机 中 间 


到 


的 路 由 ,同时 可 得 到 每 


-条 命令 tracert 163. com, 得 到 如 图 10-7 示 的 屏幕 


-|o[x| 


0 -181 .16 
228.181.29.1 


10-7 ”tracert 命令 扫描 结果 


tracert 会 自动 向 目标 主机 发 送 3 个 不 同 的 数据 包 , 每 一 个 路 由 设备 都 会 将 这 3 个 数 
据 包 返 回 , 所 以 每 一 个 路 由 都 会 看 到 3 个 时 延 ,如 图 10-7 所 示 。 图 中 时 延 为 * ”者 表示 
超时 。 


3. Rusers 和 Finger 


这 两 条 都 是 UNIX 命令 。 通 过 这 两 个 命令 ,能 收集 到 目标 计算 机 上 的 有 关 用 户 的 
消息 。 
使 用 Rusers 命令 ,产生 的 结果 如 下 所 示 
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gajake snark.wizard.om: ttypl Nov 13 15: 42 7: 30 (remote) 
root snark.wizard.oom: ttyp?2 Nov 13 14: 57 7: 21 (rempte) 
Tbo snark.wizard.com: ttyp3 Nov 15 01: 04 01 (remote) 
angel111 snark.wizard.oom: ttyp4 Nev14 23: 09 (rempte) 
Pippen snark.wizard.oam: ttyp6 Nov 14 15: 05 (remte) 

Toot snark.wizard.oom: ttyp5 Nov 13 16: 03 7: 52 (remote) 
gajake snark.wizard.cam: ttyp7 Nov 14 20: 20 2: 59 (rampte) 
dafr snarkwizard.cam: ttypl5Nov 3 20: 09 4: 55 (remote) 
dafr snarkwizard.cam: ttypl Nov 14 06: 12 19: 12 (rempte) 
dafr snark.wizard.cam: ttyplgNpv 14 06: 12 19: (2 (rampte) 


使 用 Rusers 命令 可 以 看 到 远程 登录 的 用 户 名 ,并 包括 上 次 登录 时 间 , 使 用 的 SHELL 
类 型 等 信息 。 

使 用 Finger 可 以 产生 类 似 下 面 的 结果 。 

User S00 PPP EEP 122-pml .wiza Thu Nov 14 21: 

User S15 PPP ppp- 119 pml .wiza Thu Nov 14 22: 

User S04 PPP EEP 12F pml .wiza Fri Nov 15 00: 

User S03 PPP EEP- 112 pml.wiza Thu Nov 14 22: 

User S26 PPP EEP- 124 pml .wiza Fri Nov 15 01: 

User S25 PPP pp 102 pml .wiza Thu Nov 14 23: 18: 00-still logged in 

user S17 PPP ppp-115 pml .wiza Thu Nov 14 07: 45: 00-still logged in 

User $1 0.0.0.0 sat mag 10 15: 50: 03-still logged in 

User S23 PPP EEP-103 pml .wiza Fri Nov 15 00: 13: 53-still logged in 

user S12 PPP ppp 11 pml .wiza Wed Nov 13 16: 58: 12-still logged in 

该 命令 能 显示 用 户 的 状态 。 该 命令 是 建立 在 客户 /服务 模型 之 上 的 。 用 户 通过 客户 
端 软件 向 服务 器 请 求 信息 ,然后 解释 这 些 信息 ,提供 给 用 户 。 在 服务 器 上 一 般 运 行 一 个 
叫做 fingerd 的 程序 ,根据 服务 器 机 器 的 配置 ,能 向 客户 提供 某 些 信息 。 如 果 考 虑 到 保护 
这 些 个 人 信息 的 话 , 有 可 能 许多 服务 器 不 提供 这 种 服务 .或 者 只 提供 一 些 无 关 的 信息 。 


4. host 命令 


host 是 一 个 UNIX 命令 , 它 的 功能 和 标准 与 nslookup 查询 一 样 。 唯 一 的 区 别 是 
host 命令 比较 容易 理解 。host 命令 的 危险 性 相当 大 ,下 面 举 个 使 用 实例 ,演示 一 次 对 
bu. edu 的 host 查询 。 


: 30 -still logged in 
: 35 -still logged in 
: 22 -still logged in 
: 23-still logged in 
: 49- still logged in 


总 号 吕 吕 8 号 吕 


host -1-V-t any bu.edu 


这 条 命令 的 执行 结果 所 得 到 的 信息 非常 多 ,包括 操作 系统 、 机 器 和 网 络 的 很 多 数据 。 基 
本 信息 如 下 : 


Found 1 addiresses for BU.EDU 

Found 1 agriresses for RS0.INTERNIC.NET 
Found 1 agriresses for SOETWRRE.BU.EDU 
Found 5 addresses for RS.INTEFNIC.NET 
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Found 1 adtiresses for NSBGC.BU.EDU 

Trying 128.197.27.7 

bu.edu 86400 IN SOA BU.EDU HOSTIMRASTER.BU.EDU( 

961112121 ;serial (versicn) 

900 ;Tefresh period 

900 ;retry refresh this often 

604800 ;expiration period 

86400 ;minimm TTL) 

bu.edu 86400 IN NS SOFTWRRE.EBU.EDU 

bu.edu 86400 IN NS RS. INTERNIC.NET 

bu.edu 86400 IN NS NSEGC.BU.EDU 

bu.edu 86400 IN A 128.197.27.7 

利用 上 述 网 络 命令 ,可 以 收集 到 许多 有 用 的 信息 ,比如 一 个 域 里 的 名 字 服 务 器 的 地 
址 ,一 台 计 算 机 上 的 用 户 名 ,一 台 服 务 器 上 正在 运行 什么 服务 ,这 个 服务 是 哪个 软件 提供 
的 ,计算 机 上 运行 的 是 什么 操作 系统 。 

如 果 知 道 目 标 计算 机 上 运行 的 操作 系统 和 服务 应 用 程序 后 ,就 能 利用 已 经 发 现 的 漏 
洞 来 进行 攻击 。 如 果 目 标 计算 机 的 网 络 管理 员 没 有 对 这 些 漏洞 及 时 修补 的 话 , 入 侵 者 能 
轻而易举 地 间 人 该 系统 ,获得 管理 员 权限 ,并 留 下 后 门 。 

如 果 入 侵 者 得 到 目标 计算 机 上 的 用 户 名 后 ,能 使 用 口令 破解 软件 ,多 次 试图 登录 目 
标 计算 机 。 经 过 尝试 后 ,就 有 可 能 进入 目标 计算 机 。 得 到 了 用 户 名 ,就 等 于 得 到 了 进入 
目标 计算 机 的 部 分 权限 , 剩 下 的 只 是 使 用 软件 进行 攻击 而 已 。 


1022 SuperScan 


SuperScan 是 由 Foundstone 开发 的 扫描 软件 工具 ,其 功能 十 分 强大 ,与 许多 同类 工 
有 具 比较 , 它 既是 一 款 网 络 安全 工具 ,又 是 一 款 网 络 黑客 攻击 工具 。 黑 客 可 以 利用 它 进行 
拒绝 服务 攻击 DoS(Denial of Service) 功 能 来 收集 远程 网 络 主机 信息 。 而 作为 安全 工具 ， 
SuperScan 能 够 帮助 用 户 发 现 网 络 中 的 脆弱 点 。 

在 这 里 ,介绍 的 是 SuperScan SuperScan 4. 0 版 本 ,该 软件 是 免费 的 ,可 以 在 如 下 地 
址 http: //www. skycn. com/soft/8061. html 下 载 。 


1. SuperScan 的 启动 


给 SuperScan 解压 后 ,双击 SuperScan4. exe. 开 始 启动 。 打 开 主 界面 ,默认 为 扫描 
(Scan) 莱 单 ,允许 输入 一 个 或 多 个 主机 名 或 IP 范围 ,也 可 以 选 文件 下 的 输入 地 址 列 
表 。 输 入 主机 名 或 IP 范围 后 开始 扫描 , 单 击 左下 角 的 到 | 按钮 ,SuperScan 开始 扫描 ,如 
图 10-8 所 示 。 

扫描 进程 结束 后 ,SuperScan 将 提供 一 个 主机 列表 ,显示 每 台 扫描 过 的 主机 开放 端口 
的 信息 。 

在 图 10-8 中 , 单 击 “ 查 看 HTML 结果 ”按钮 ,可 以 以 HTML 格式 显示 有 关 信 息 ， 
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2 SUPER 


[vs hosts chis Dacch: 1 


10.1.23.4 
Hostnane: TOnknewnl 
pp pores (2) 123,137 


图 10-9 HTML 显示 屏幕 


在 图 10-9 中 ,可 以 看 到 SuperScan 扫描 了 哪些 主机 和 在 每 台 主机 上 哪些 端口 是 开 
放 的 。 


2. 主机 和 服务 器 扫描 设置 (host and service discovery) 


经 过 上 面 的 介绍 ,能 够 从 一 群 主机 中 执行 简单 的 扫描 ,然而 ,很 多 时 候 需 要 定制 扫描 。 
在 图 10-8 中 ,选择 “主机 和 服务 器 扫描 设置 "选项 卡 ,可 以 定制 扫描 ,如 图 10-10 所 示 。 
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= SUPerSean 4.0 


所 匡 。 主机 和 服务 扫描 设置 | 扫 扩 过 项 | 工具 ”| wirdors 枚 学 | 关于 | 


末 查 技 主机 名 Hi 全 sjFaa 


订 UpP 端口 扫描 超 对 设置 ns) 2000 


ND 引 HE Dat ete + ICIE 
结 于 六 口 
区 ww mm 站 


民 TCP 端口 扫描 超时 设置 ms) 000 


后 类 型 ~ 直接 连接 个 sy 


厂 使 用 稳 者 六 口 站 


图 10-10 主机 和 服务 扫描 设置 
3. 扫描 选项 (scan options) 


“扫描 选项 "选项 卡 如 图 10-11 所 示 ,允许 控制 扫描 进程 。 菜 单 中 的 首选 项 是 定制 扫 
描 过 程 中 主机 和 通过 审查 的 服务 数 。 
“= SUPerSCan 4.0 


扫描 “| 主机 和 服务 扫描 设置 扫 扩 过 项 | 工具 “| Wixdors 权 举 | 关于 | 


图 10-11 扫描 选项 
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扫描 选项 中 接 下 来 的 选项 ,能 够 设置 主机 名 解析 的 次 数 。 正 常情 况 下 ,该 次 数 设置 1 
已 足够 了 ,除非 用 户 的 连接 不 可 靠 。 

另 一 个 选项 是 获取 标志 (banner grabbing) 的 设置 ,获取 标志 是 根据 显示 一 些 信息 尝 
试 得 到 远程 主机 的 回应 。 默 认 的 延迟 是 8000 毫秒, 如果 所 连接 的 主机 较 慢 ,可 以 修改 这 
个 值 。 

旁边 的 滚动 条 是 扫描 速度 调节 选项 ,能 够 利用 它 来 调节 SuperScan 在 发 送 每 个 包 所 要 
等 待 的 时 间 。 最 快 扫描 ,是 调节 滚动 条 为 0。 可 是 ,扫描 速度 设置 为 0, 有 包 溢出 的 潜在 可 
能 。 如 果 担心 由 于 SuperScan 引起 的 过 量 包 溢 出 ,最 好 调 慢 SuperScan 的 速度 。 


4. 工具 (tools) 选 项 


SuperScan 的 工具 选项 (Tools) 人 允许 用 户 很 快 的 得 到 许多 主机 信息 。 正 确 输入 主机 
名 或 者 IP 地 址 和 默认 的 连接 服务 器 ,然后 单 击 要 得 到 相关 信息 的 按钮 。 例 如 ,能 ping 一 
台 服 务 器 ,或 traceroute, 和 发 送 一 个 HTTP 请 求 。 图 10-12 显示 了 得 到 的 各 种 信息 。 


“= SUPerScan 4.0 


扫描 | 主机 和 服务 扫描 设置 | 反手 过 项 工具 。 | Yindevs 覆 举 | 关于 | 
主机 名 NP/URL 


转 Awheis 腿 务 哆 rhois networksolutions co 


图 10-12 ”能够 通过 点 选 不 同 的 按钮 ,收集 各 种 主机 信息 


5. Windows 枚 举 选项 (windows enumeration) 


利用 Windows 枚 举 选 项 ,可 以 查看 Windows 主机 大 量 的 枚 举 信息 ,如 图 10-13 
所 示 。 
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“2 SUperScan 4.0 


3 阁 。| 主 # 和 服务 扫 凡 有 村 | 扫 才 项 | 工具 。 开 mior 枚 尝 | 关于 | 
主机 名 /P/URU 鸡 鞋 四) 乏 头 四) 清 队 人) 
EE -| 


Oe Baapoint pu 
hecomt Policies 
[ea 

回 rsins 

回 perote Tine of Dar 


图 10-13 Windows 枚 举 选项 


1023 XScan 


1. 软件 功能 


X-Scan 采用 多 线程 方式 对 指定 IP 地 址 段 (或 单机 ) 进 行 安全 漏洞 检测 ,支持 插件 功 
能 ,提供 了 图 形 界面 和 命令 行 两 种 操作 方式 ,扫描 内 容 包 括 远 程 服务 类 型 .操作 系统 类 型 
及 版 本 、 各 种 弱 口 令 漏 洞 \ 后 门 、 应 用 服务 漏洞 .网 络 设备 漏洞 和 拒绝 服务 漏洞 等 。 对 于 
多 数 已 知 漏洞 ,给 出 了 相应 的 漏洞 描述 、 解 决 方案 及 详细 描述 链接 。 

本 小 节 介绍 X-Scan v3.3 简体 中 文 版 的 使 用 技术 。 


2. 系统 组 成 
X-Scan v3. 3 简体 中 文 版 由 下 列 文件 组 成 。 


xscan gui.exe 闫 Scan 图 形 界面 主 程序 


checihost.dat 插件 调度 主 程序 
Wdate.exe 在 线 升级 主 程序 
#.d11 主 程序 所 需 动 态 链接 库 


使 用 说 明 .txt XScan 使 用 说 明 

/dat/language.ini ”多 语言 配置 文件 ,可 通过 设置 "TANGUAGE\SETECTED" 项 进行 语言 切换 
/dat/language* 多 语言 数据 文件 

/dat/oonfig.ini 当前 配置 文件 ,用 于 保存 当前 使 用 的 所 有 设置 


/dat/*.cty 用 户 自 定义 配置 文件 
/cat/*.dic 用 户 名 /密码 字典 文件 ,用 于 检测 弱 口令 用 户 
/plugins 用 于 存放 所 有 插件 (后 缓 名 为 .xn) 


/scripts 用 于 存放 所 有 NASL 肢 本 (后 缓 名 为 .nasl) 
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/scripts/desc 用 于 存放 所 有 NSL 脚 本 多 语言 描述 (后 缓 名 为 .desc) 
/scripts/cache 用 于 缓存 所 有 NASL 肢 本 信息 ,以 便 加 快 扫描 过 度 (该 目录 可 删除 ) 


3. 软件 运行 环境 
Windows NT/2000/XP/2003。 
4. 软件 的 启动 


运行 X-Scan v3. 3 简体 中 文 版 文件 夹 中 的 scan_gui. exe 文件 , 即 启动 X-Scan v3. 3 
简体 中 文 版 系统 ,如 图 10-14 所 示 。 


X-Scan v3.3 GU 
文件 (W) 设置 (w)” 查 看 (x) 工具 ”Language 帮助 (| 
jejPne| 国 | 回 央 | 日 
普通 信息 | 漏洞 信息 | 堵 识 信息 | 


[x-sewrv.3 便 用 说 明 


| 一 .系统 要 求 ;Windews 多 /2000/XF/2003 
理论 上 可 运行 于 Windor> 呈 系 列 绵 作 系 毁 ， 推 荐 运行 于 inton 2000 以 上 的 Ser ver 版 Windon: 系 坑 。 


ee 
i 


i 大 ,可 
组 和 :http /mer xfveax net/ projeets/ -Scan index hi 国 | 


图 10-14 X-Scan v3.3 主屏 幕 


5. 扫描 参数 设置 
选择 “设置 ”1“ 扫 描 参 数 设置 "命令 ,进入 扫描 参数 设置 屏幕 ,如 图 10-15 所 示 。 


指定 rr 范围 


Fairaiaia 
[Ere 


图 10-15 IP 地址 范围 设置 
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1) 检测 范围 设置 

在 图 10-15 所 示 的 屏幕 进行 设置 。 

“指定 全 范围 ”。 可 以 输入 独立 IP 地 址 或 域名 ,也 可 输入 以 “-” 和 “, ”分隔 的 IP 范 
围 ,如 210. 40. 0. 1-210. 40. 0. 200 或 类 似 192. 168. 100. 1/24 的 掩 码 格式 。 

加 “从 文件 中 获取 主机 列表 ”。 选 中 该 复 选 框 将 从 文件 中 读 取 待 检测 主机 地 址 ,文件 
格式 应 为 纯 文 本 ,每 一 行 可 包含 独立 IP 或 域名 ,也 可 包含 以 ”和 *,” 分 隔 的 IP 范围 。 

2)“ 全 局 设置 "模块 

在 图 10-15 中 ,展开 左上 角 的 “全 局 设置 "项 ,得 到 全 局 设置 屏幕 ,如 图 10-16 所 示 。 


二 相册 居 到 
CS 设置 
于 贝亲 件 认 和 


EE 


图 10-16 全 局 参数 设置 


(1)“ 扫 描 模块 ?项 。 用 以 选择 本 次 扫描 需要 加 载 的 插件 ,如 图 10-16 所 示 。 
《2)“ 并 发 扫描 ?项 。 用 以 设置 并 发 扫描 的 主机 和 并 发 线程 数 ,也 可 以 单独 为 每 个 主 
机 的 各 个 插件 设置 最 大 线程 数 , 如 图 10-17 所 示 。 


图 10-17 并 发 扫描 设置 
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(3)“ 扫 描 报 告 ”项 。 用 以 设置 扫描 结束 后 生成 的 报告 文件 名 ,保存 在 LOG 目录 下 。 
扫描 报告 目前 支持 TXT HTML 和 XML3 种 格式 ,如 图 10-18 所 示 。 


报告 文件 - 
Fo ol-zo400zooreperthol 
报 旧 文件 类 型 : 


年 
了 kTBI0S 相 天 讼 于 
CoT 相 关 设 轩 
字典 文件 设置 


图 10-18 扫描 报告 文件 设置 
(4)“ 其 他 设置 "项 。 用 以 设置 其 他 一 些 参 数 ,如 图 10-19 所 示 。 


字 身 文件 设置 


图 10-19 其 他 项 设置 


*“ 跳 过 没有 响应 的 主机 ?。 若 目标 主机 不 响应 ICMP ECHO 及 TCP SYN 报 文 ， 
X-Scan 将 跳 过 对 该 主机 的 检测 。 

。“ 无 条 件 扫描 ?。 对 目标 计算 机 无 条 件 地 扫描 。 

。“ 跳 过 没有 检测 到 开放 端口 的 主机 ”。 若 在 用 户 指 定 的 TCP 端口 范围 内 没有 发 现 
开放 端口 ,将 跳 过 对 该 主机 的 后 续 检 测 。 

。“ 使 用 NMAP 判断 远程 操作 系统 ”。X-Scan 使 用 SNMP、NETBIOS 和 NMAP 综 
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合 判 断 远程 操作 系统 类 型 ,车 NMAP 频繁 出 错 , 可 关闭 该 选项 。 
3) 插件 设置 


在 图 10-15 中 ,展开 左上 角 的 “插件 设置 "项 ,得 到 插件 设置 屏幕 ,如 图 10-20 所 示 。 


待 术 测 只 口 


i, 13, 19, 21, 22, 23, 25, 53, 79, 80, 110, 111, 119, 135, 139, 143, 443, 445, 465, 5 


图 10-20 端口 设置 


(1) 端口 相关 参数 设置 。 用 以 设置 扫描 端口 及 其 相关 参数 ,如 图 10-20 所 示 。 
“ 待 检测 端口 "。 输 入 以 “-” 和 *,” 分 隔 的 TCP 端口 范围 。 

“检测 方式 ”。 目 前 支持 TCP 完全 连接 和 SYN 半 开 扫描 两 种 方式 。 

“根据 响应 识别 服务 "。 根 据 端 口 返回 的 信息 智能 判断 该 端口 对 应 的 服务 。 

“ 预 设 知名 服务 端口 "。 用 以 预 设 各 种 常用 服务 的 端口 。 


(2) SNMP 相关 参数 设置 。 用 以 设置 SNMP( 简 单 网 络 管理 协议 ) 的 相关 参数 ,如 
图 10-21 所 示 。 


三 打 描 参数 


图 10-21 SNMP 相关 参数 设置 
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(3) NETBIOS 相关 参数 设置 。 用 以 设置 NETBIOS 相关 参数 ,如 图 10-22 所 示 。 


图 10-22 NETBIOS 相关 参数 设置 


(4) 漏洞 检测 脚本 参数 设置 。 用 以 进行 漏洞 检测 脚本 设置 ,如 图 10-23 所 示 。 


图 10-23 漏洞 检查 脚本 设置 


(5) CGI 相关 参数 设置 。 用 以 设置 CGI 相关 参数 .如 图 10-24 所 示 。 
(6) 字典 文件 设置 。 用 以 设置 各 服务 对 应 的 密码 字典 文件 。 


6. 扫描 


在 图 10-14 所 示 的 屏幕 中 .选择 “文件 ”|“ 开 始 扫 描 ” 命 令 或 单 击 快捷 工具 栏 中 的 国 | 
按钮 , 即 开 始 扫描 ,如 图 10-25 所 示 。 
。，“ 普 通信 息 ”。 用 以 查看 正在 进行 哪些 项 目的 扫描 ,如 图 10-26 所 示 。 


252 人 


个 0 合用 -GET 依法 

人 1 用 "EAD "区 执 "GET” 

个 2 用 -PsT- 基 换 -GHT 

个 :用 "arr /TP/4 ow wteader:” 前 换 “ET” 

m4 用 TI/ [na hm ?pre" 着 的 
个 5 用 "GT y00 - 荐 的 "GT 

厂 6 多 个 /或 

1 

厂 8 用 "cap> 萤 执 " 空 粘 > 


图 10-24 CGI 相关 参数 设置 


360 
文件 ”设置 (w) 查看 4 工具 沪 Languase 帮助 (D) 
J@jPWm| 国 | 回 古 | 日 
210 40-01 
210.40.0.33 
210 40 0 36 
210. 40.0 42 
210.40.0.58 
210.40.0. 108 SH 
210. 40.0. 126 正在 检测 " 涝 程 拘 作 素 站 


也 | 


加 


-Active/Mazimum host thread: 7110, CurrentMaxinum thread: 14/100, Time(s): : 


区 
ET 
210.40.0.39 
210.40 0 38 
210.40.0 42 
210. 40.0.58 
210.40. 0. 108 
al0.40.0. 126 


TREE OECD TREE / 


图 10-26 ”普通 信息 
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。“ 漏 洞 信息 ”。 用 以 查看 目标 计算 机 上 存在 的 漏洞 ,如 图 10-25 所 示 。 
。“ 错 误 信息 ”。 用 以 查看 目标 计算 机 上 存在 的 错误 。 


7. 扫描 报告 


扫描 结束 后 ,系统 会 自动 以 HTML 文件 格式 显示 扫描 结果 报告 ,如 图 10-27 所 示 。 
也 可 选择 “查看 "|* 检 测报 告 命 令 查看 检测 报告 。 


ET er < 训 ，E9w# 轩 | 关机 二 要 
ET 
ECR EE 


eran 


ET ET 
Eee TREE 
EN 0 ire 0 FOR 0 tog 


全 时 wa 


图 10-27 ”扫描 结果 报告 


8. 工具 
选择 “工具 ”功能 ,进入 工具 操作 界面 ,如 图 10-28 所 示 。 


物理 地 址 查询 | XP query | Yhois | Trace xoute | Pine | 


en [| 


ENS 1 com 
[pt 220. 181 29. 154 
| 所在 地 ;北京 市 电信 用 户 


图 10-28 工具 操作 界面 
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“物理 地 址 查询 ”选项 卡 。 用 以 查询 目标 主机 的 IP 地 址 ,域名 及 物理 网 卡 地 址 。 
ARP query 选项 卡 。 用 以 查询 目标 主机 IP 地 址 与 MAC 地 址 的 绑 定 情况 。 若 不 
指定 目标 主机 , 则 针对 本 机 所 在 网 段 进行 查询 。 

Whois 选项 卡 。 用 以 进行 Whois 查询 。 

Trace route 选项 卡 。 用 以 查询 目标 主机 的 路 由 情况 ,参见 10. 2. 1 小 节 的 Tracert 
命令 。 

ping 选项 卡 。 用 以 进行 ping 查询 ,参见 10. 2. 1 小 节 的 ping 命令 。 


9. 命令 行 运行 方式 参数 说 明 
1) 命令 格式 


x5can -host < 起 始 IP> [< 终止 IP>] < 检测 项 目 > [其 他 选项 ] 
xscan -file < 主机 列表 文件 名 >< 检 测 项 目 > [其 他 选项 ] 


其 中 二 检测 项 目 二 含义 如 下 : 
-active: 检测 目标 主机 是 否 存活 。 
-os: ”检测 远程 操作 系统 类 型 (通过 NETBIOS 和 SNMP 协议 ) 。 
-port: 检测 常用 服务 的 端口 状态 。 
-ftp: ”检测 FTP 弱 口 令 。 
-pub: ”检测 FTP 服务 匿名 用 户 写 权限 。 
-pop3: 检测 POP3-Server 弱 口 令 。 
-smtp: 检测 SMTP-Server 漏洞 。 
-sql: ”检测 SQL-Server 弱 口 令 。 
-smb: 检测 NT-Server 弱 口 令 。 
-iis: “检测 IIS 编码 /解码 漏洞 。 
-cgi: “检测 CGI 漏洞 。 
-nasl: 加 载 Nessus 攻击 脚本 。 
-all: ”检测 以 上 所 有 项 目 。 
[其 他 选项 ] 含义 如 下 : 
-i 适配器 编号 过: 设置 网 络 适配器 , 一 适配器 编号 二 可 通过 一 1 参数 获取 。 
-1: 显示 所 有 网 络 适 配器 。 
-v: 显示 详细 扫描 进度 。 
-p: 跳 过 没有 响应 的 主机 。 
-o: 跳 过 没有 检测 到 开放 端口 的 主机 。 
-t 过 并 发 线程 数量 [, 并 发 主机 数量 ] 二 : 指定 最 大 并 发 线程 数量 和 并 发 主机 数量 ， 
默认 数量 为 100,10。 
-log 去 文件 名 二 : 指定 扫描 报告 文件 名 ,以 TXT 或 HTML 作为 后 缀 。 
* cgi 及 iis 参数 中 “编码 方案 ”含义 如 下 : 
用 HEAD 替换 GET。 
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用 POST 替换 GET。 

HTTP/1. 0\r\nHeader: ”替换 GET。 
/[filename]? param 一 ”替换 GET( 可 通过 \ dat\config. ini 文件 的 CGI- 
ENCODE\encode4_index_file 项 设置 [filename]) 

用 “GET %%00” 蔡 换 GET。 
多 个 “/” 或 ^\”“/” 与 “^\” 互 换 
用 “二 Tab 二 ”替换 “二 空格 二 ” 
各 变形 方案 若 不 冲突 则 可 以 同时 使 用 ,如 -cgi 1,6,8 表示 同时 使 用 第 1.6、8 号 
砷 行 变 形 


方案 对 HTTP 请 
2) 示例 
示例 1: xscan -host 210. 50. 0. 10 一 210. 50. 0. 254 -all - 
含义 : 检测 网 段 210. 50. 0. 10 一 210. 50. 0. 254 主机 的 所 有 漏洞 , 跳 过 无 响应 的 主机 ， 
示例 2: xscan -host 210. 50. 0. 10 一 210. 50. 0. 254 -port -smb -t 150 -o 
含义 : 检测 网 段 210. 50. 0. 10 一 210. 50. 0. 254 主机 的 标准 端口 状态 ,NT 弱 口 令 用 

户 ,最 大 并 发 线程 数量 为 150, 跳 过 没有 检测 到 开放 端口 的 主机 
示例 3: xscan -file hostlist. txt -port -cgi -t 200,5 -v -o 
含义 : 检测 hostlist. txt 文件 中 列 出 的 所 有 主机 的 标准 端口 状态 ,CGI 漏洞 ,最 大 并 

发 线程 数量 为 200, 同 一 时 刻 最 多 检测 5 台 主 机 ,显示 详细 检测 进度 , 跳 过 没有 检测 到 开 

放 端 口 的 主机 。 

3) xscan 命令 操作 应 用 实例 
对 主机 10. 1. 23. 11 进行 扫描 ,目的 是 了 解 该 主机 开放 了 哪些 端口 。 在 DOS 命令 窗 
口 下 ,执行 下 述 命令 : 


tive -p 


xscan -host 10.1.23.11 -port 


系统 开始 扫描 ,扫描 结果 如 图 10-29 所 示 


running on this port- 


10-29 ”XSCAN 扫描 结果 


从 图 10-29 的 扫描 可 结果 看 出 ,主机 10. 1. 23. 11 开放 了 一 个 端口 21, 该 端口 用 于 
FTP 服务 。 
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Nmap 是 一 款 针 对 大 型 网 络 的 端口 扫描 工具 , 它 也 适用 于 单机 扫描 。 在 不 同情 况 下 ， 
用 户 可 能 需要 隐藏 扫描 、 越 过 防火 墙 扫 描 或 者 使 用 不 同 的 协议 进行 扫描 ,比如 UDP、 
TCP ICMP 等 。 它 支持 Vanilla TCP connect 扫描 ,TCP SYN( 半 开 式 ) 扫 描 、TCP FIN、 
Xmas 或 NULL( 隐 藏 ) 扫 描 、TCP ftp 代理 (跳板 ) 扫 描 ,SYN/FIN IP 碎片 扫描 (穿越 部 分 
数据 包 过 滤器 ) .TCP ACK 和 窗口 扫描 、UDP 监听 ICMP 端口 无 法 送 达 扫描 、ICMP 扫描 
( 狂 ping) ,TCP Ping 扫描 、 直 接 RPC 扫描 (无 端口 映射 )、TCP/IP 指纹 识别 远程 操作 系 
统 以 及 相反 身份 认证 扫描 等 。Namp 同时 支持 性 能 和 可 靠 性 统计 ,例如 动态 延 时 计算 , 数 
据 包 超时 和 转发 ,并 行 端口 扫描 ,通过 并 行 ping 侦 测 下 层 主机 等 。 由 于 本 书 篇 幅 所 限 ,对 
Namp 软件 的 操作 过 程 不 作 详细 介绍 ,有 兴趣 的 读者 可 参阅 有 关 资 料 。 
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1. 端口 的 分 配 


我 们 知道 ,一 台 拥 有 IP 地 址 的 主机 可 以 提供 许多 服务 ,比如 Web 服务 .FTP 服务 和 
SMTP 服务 等 ,这 些 服 务 完全 可 以 通过 1 个 IP 地 址 来 实现 。 那 么 ,主机 怎样 区 分 不 同 的 
网 络 服务 呢 ? 显然 不 能 只 靠 IP 地 址 ,因为 IP 地 址 与 网 络 服务 的 关系 是 一 对 多 的 关系 。 
实际 上 是 通过 “IP 地 址 十 端口 号 "来 区 分 不 同 的 服务 的 。 

需要 注意 的 是 ,端口 并 不 是 一 一 对 应 的 。 比 如 用 户 的 计算 机 作为 客户 机 访问 一 台 
WWW 服务 器 时 ,WWW 服务 器 使 用 的 是 80 端口 ,用 户 的 计算 机 则 可 使 用 3457 端口 ,如 
图 10-30 所 示 。 


80 WWW 上 -一 -| 3457 
TP 地 址 | 21: FTP 上 -| 357 人 P 地 址 


25: SMTP Fo 455 


服务 器 客户 机 
图 10-30 ”端口 连接 


按 对 应 的 协议 类 型 分 ,端口 有 两 种 ,TCP 端口 和 UDP 端口 。 由 于 TCP 和 UDP 两 个 
协议 是 独立 的 ,因此 各 自 的 端口 号 也 相互 独立 ,比如 TCP 有 235 端口 ,UDP 也 可 以 有 
235 端口 。 


2. 怎样 查看 端口 
一 台 服 务 器 有 大 量 的 端口 在 使 用 ,怎么 来 查看 端口 呢 ? 有 两 种 方式 : 一 种 是 利用 系 
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统 内 置 的 命令 ,一 种 是 利用 第 三 方 端口 扫描 软件 
(1) 用 系统 内 置 命令 netstat-an 查看 端口 状 


Netstat 命令 格式 : 
Netstat Fa] Fe] Fn] Fo] Fs] Fan] 


参数 说 明 如 下 : 
a: 表示 显示 所 有 活动 的 TCP 连接 以 及 计算 机 监听 的 TCP 和 UDP 端口 。 
-e: 表示 显示 以 太 网 发 送 和 接收 的 字 节 数 .数据 包 数 等 
-n: 表示 只 以 数字 形式 显示 所 有 活动 的 TCP 连接 的 地 址 和 端口 号 
-o: 表示 显示 活动 的 TCP 连接 并 包括 每 个 连接 的 进程 ID(PID) 
-s: 表示 按 协议 显示 各 种 连接 的 统计 信息 ,包括 端口 号 
在 Windows 2000/XP 中 ,可 以 在 命令 提示 符 下 使 用 netstat -an 命令 查看 系统 端口 
状态 ,可 以 列 出 系统 正在 开放 的 端口 号 及 其 状态 ,如 图 10-31 所 示 


WINDOWS'\system32\emd. -|x| 


Foreign Addre stat 
80.6.0.0:8 LISTENING 
-0-0-0:445 10-6.0-0:0 LISTENING 
127.8.0 8-B.B.8:8 LISTENING 
127.8-8 0-8.0-0:8 LISTENING 
0.0.0.0 
8-8-B.8 
0.0.0.0 
27.8.8.1:123 
72.9.0.1:1927 
7.0.0.1:103 
29.8-1:1989 


图 10-31 端口 状态 


(2) 用 第 三 方 端口 扫描 软件 。 第 三 方 端口 扫描 软件 有 很 多 种 ,界面 虽然 千差万别 ,但 
是 功能 却 是 相似 的 。 这 里 以 Fport (可 到 http://www. ccert. edu. cn/tools/index. php? 
type_t=7 或 http: //www. ccidnet. com/soft/cce 下 载 ) 为 例 。Fport 在 命令 提示 符 下 使 
用 ,运行 结果 与 “netstat -an” 相 似 , 它 不 仅 能 够 列 出 正在 使 用 的 端口 号 及 类 型 ,还 可 以 列 
出 端口 正在 被 哪个 应 用 程序 使 用 ,如 图 10-32 所 示 


3. 怎样 管理 端口 


黑客 程序 是 通过 系统 的 端口 漏洞 来 人 侵 系 统 的 ,因此 对 端口 的 管理 是 网 管 工作 的 一 
个 非常 重要 的 内 容 。 管 理 端口 可 采用 两 种 方法 ,一 种 方法 是 利用 系统 内 置 的 管理 工具 ， 
另 一 种 方法 是 利用 第 三 方 软件 来 实现 。 

1) 用 “TCP/IP 筛选 ”管理 端口 

在 Windows 2000 Server/Windows XP 中 ,双击 任务 栏 右 下 角 的 网 络 连接 图 标 , 再 双 
击 打 开 “ 本 地 连接 状态 ”对 话 框 , 单 击 “ 属 性 ”按钮 ,在 选中 “Internet 协议 (TCP/IP)" 后 单 
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击 “ 属 性 ”按钮 ,在 打开 的 * “高 级 "按钮 。 在 “高 级 
TCP/IP 设置 过 "按钮 。 在 


“TCP/IP 筛选 "对 话 框 里 选择 “启用 TCP 
IP 筛选 "的 复 选 框 ,然后 选择 左边 *TCP 端 


口 " 上 的 “只 允许 ”选项 。 增 加 允许 使 用 的 端 | 


人 a Omitif 四) 加 全 部 区 将) 加 全 部 多 寿 吕 ) 
口 , 如 80.21、.25 等 ,如 图 10-33 所 示 ,重新 启 加 Rft 许 四 OR% 许 田 〇 只 化 许 中 


TCF 端口 WP 端口 严 协 议 | 
到 


动 以 后 未 经 允许 的 端口 就 关闭 了 鼻 
在 图 10-33 中 ,可 单 击 “ 添 加 ”按钮 添加 日 


端口 , 单 删除 "按钮 删除 端口 CE 
2) 用 第 三 方 软件 管理 端口 sr 
管理 端口 最 常用 的 第 三 方 软件 是 防 rr | 


火 墙 软件 。 其 实 防火 墙 就 是 一 整套 制定 好 
的 IP 地 址 及 其 端口 的 访问 规则 ,用 户 可 以 10-33 Windows 2000 Server/Windows XP 
通过 改变 这 些 规则 来 打开 和 关闭 指定 的 端 系统 的 端口 管理 
口 。 图 10-34 是 瑞星 个 人 防火 墙 的 端口 管理 
界面 。 

在 图 10-34 中 ,“ 动 作 ” 栏 打上 “ ”标记 的 为 开放 的 端口 ,而 打上 “x ”标记 的 为 关闭 的 
端口 。 可 单 击 “ 增 加 规则 ”按钮 来 添加 一 条 规则 , 单 击 " 删 除 规则 ”来 删除 一 条 规则 。 


1032 端口 的 关闭 与 开放 
1. 端口 的 关闭 和 开放 
在 Windows 的 默认 情况 下 ,会 有 很 多 不 安全 的 或 无 用 的 端口 处 于 开启 状态 ,比如 
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[生生 寺 


目 黑 8 单 | 回 25.， 
且 B# 单 ”| 自 必 


TCF OR WE 
TCF OR WE 


CC RE 


交 省 或 禁止 列表 中 的 演 口 通讯 


EE 


[C= i FT "| 


图 10-34 瑞星 个 人 防火 墙 的 端口 管理 


Telnet 服务 的 23 端口 .FTP 服务 的 21 端口 .SMTP 服务 的 25 端口 以 及 RPC 服务 的 135 
端口 等 。 为 了 保证 系统 的 安全 性 ,可 以 通过 下 面 的 方法 来 关闭 /开启 端口 。 

1) 关闭 端口 

在 Windows 2000/XP 中 关闭 Telnet 服务 的 端口 ,操作 步 又 为 ,首先 打开 “控制 面 
板 ”, 双 击 “ 管 理工 具 ”, 再 双击 “服务 ”选项 。 接 着 在 打开 的 服务 窗口 中 找到 并 双击 Telnet 
服务 ,如 图 10-35 所 示 。 


图 10-35 ”Windows 2000/XP 服务 功能 


在 图 10-35 所 示 的 屏幕 中 , 单 击 “ 停 止 " 按 钮 来 停止 该 服务 ,然后 在 “启动 类 型 "中 选择 
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“已 禁用 ”, 最 后 单 击 “ 确 定 ” 按 钮 即 可 。 这 样 ,关闭 了 SMTP 服务 就 相当 于 关闭 了 对 应 的 
端口 ,如 图 10-36 所 示 。 

2) 开启 端口 

如 果 要 开启 该 端口 只 需 先 在 “启动 类 型 "中 
选择 “自动 ”选项 , 单 击 “ 确 定 ”按钮 ,再 打开 该 服 
务 , 在 “服务 状态 ”中 单 击 “ 启 动 ”按钮 即 可 启用 
该 端口 ,最 后 , 单 击 “ 确 定 ” 按 钮 即 可 。 

注意 ,在 Windows 98 中 没有 “服务 ”选项 ， 
可 以 使 用 防火 墙 的 规则 设置 功能 来 关闭 /开启 | 至 尝 


EI 奖 入 DD | 
端口 。 当 从 比 处 局 动 服务 时 ， 炮 可 指定 所 适用 的 司 动 才 烤 。 


2. 部 分 端口 的 关闭 技术 TI 


Telnet 的 局 性 (本地 计算 机 J 


FIDO er rena rt ene 
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1) 113 端口 木马 的 清除 

这 是 一 个 基于 irc 聊天 室 控制 的 木马 程序 图 10-36 Telnet 属性 设置 
( 仅 适用 于 Windows 系统 ) 。 

第 1 步 ,使 用 netstat -an 命令 确定 自己 的 系统 上 是 否 开 放 了 113 端口 。 

第 2 步 ,使 用 fport 命令 查看 出 是 哪个 程序 在 监听 113 端口 。 

例如 用 fport 命令 看 到 如 下 结果 : 

Pid Process Port Proto Path 

392 svchost -> 113 TCP C: \WINNT\system32\vhos .exe 


就 可 以 确定 在 监听 113 端口 的 木马 程序 是 vhos. exe, 该 程序 所 在 的 路 径 为 c: \ winnt\ 
system32。 

第 3 步 ,确定 了 木马 程序 名 (就 是 监听 113 端口 的 程序 ) 后 ,在 任务 管理 器 中 查找 到 
该 进程 ,并 使 用 管理 器 结束 该 进程 。 

第 4 步 ,在 “开始 -运行 "中 输入 regedit, 运 行 注 册 表 管理 程序 ,在 注册 表 里 查 找 刚才 
找到 那个 程序 ,并 将 相关 的 键 值 全 部 删 掉 。 

第 5 步 ,到 木马 程序 所 在 的 目录 下 删除 该 木马 程序 (通常 木马 还 会 包括 其 他 一 些 程 
序 , 如 rscan. exe、psexec. exe ipcpass. dic ,ipcscan. txt 等 ,根据 木马 程序 不 同 ,文件 也 有 
所 不 同 ,可 以 通过 查看 程序 生成 和 修改 的 时 间 来 确定 与 监听 113 端口 的 木马 程序 有 关 的 
其 他 程序 ) 。 

第 6 步 ,重新 启动 机 器 。 

2) 3389 端口 的 关闭 

首先 说 明 3389 端口 是 Windows 的 远程 管理 终端 所 开 的 端口 , 它 并 不 是 一 个 木马 程 
序 , 请 先 确定 该 服务 是 否 是 用 户 自己 开放 的 。 如 果 不 是 必需 的 ,请 关闭 该 服务 。 

(1) 基于 Windows 2000 Server 的 关闭 方法 。 在 Windows 2000 Server 的 “开始 ”| 
“程序 ”|* 管 理工 具 ”|* 服 务 ” 里 找到 Terminal Services 服务 项 ,选中 属性 选项 将 启动 类 型 
改 成 手动 .并 停止 该 服务 。 
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(2) 基于 Windows XP 的 关闭 方法 。 在 “我 的 计算 机 ”上 单 击 右 键 选 择 “ 属 性 ”|“ 远 
程 ”, 将 里 面 的 远程 协助 和 远程 桌面 两 个 选项 框 里 的 “V ”去掉 。 

3) 4899 端口 的 关闭 

4899 端口 是 一 个 远程 控制 软件 (remote administrator) 服 务 端 监听 的 端口 , 它 不 能 算 
是 一 个 木马 程序 ,但 是 具有 远程 控制 功能 ,通常 杀毒 软件 是 无 法 查 出 它 来 的 ,请 先 确定 该 
服务 是 否 是 用 户 自 己 开放 并 且 是 必须 开放 的 ,如 果 不 是 请 关闭 它 。 

关闭 4899 端口 。 

选择 “开始 ”|“ 运 行 "命令 ,在 出 现 的 对 话 框 中 输入 cmd(Windows 9x 为 command) ,在 
DOS 命令 窗口 下 输入 命令 : cd c: \winnt\system32( 系 统 安装 目录 ) ,输入 r_server. exe /stop 
后 按 Enter 键 。 然 后 在 输入 r_server /uninstall /silence 到 c: \winnt\system32( 系 统 目录 ) 下 
删除 r_server. exe、admdll. dll 和 radbrv. dll 3 个 文件 。 

4) 5800 和 5900 端口 的 关闭 

第 1 步 ,首先 使 用 fport 命令 确定 出 监听 在 5800 和 5900 端口 的 程序 所 在 位 置 (通常 
会 是 c: \winnt\fonts\explorer. exe) 。 

第 2 步 ,在 任务 管理 器 中 关 掉 相关 的 进程 (注意 有 一 个 是 系统 本 身 正常 的 ,请 注意 : 
如 果 错 关 可 以 重新 运行 c: \winnt\explorer. exe) 。 

第 3 步 ,删除 c: \winnt\fonts\ 中 的 explorer. exe 程序 。 

第 4 步 ,删除 注册 表 HKEY_LOCAL_MACHINE\Software\ Microsoft\ Windows\ 
CurrentVersion\Run 中 的 Explorer 项 。 

第 5 步 ,重新 启动 机 器 。 

5) 6129 端口 的 关闭 

6129 端口 是 一 个 远程 控制 软件 (dameware nt utilities) 服 务 端 监听 的 端口 , 它 不 是 一 
个 木马 程序 ,但 是 具有 远程 控制 功能 ,一 般 的 杀毒 软件 是 无 法 查 出 的 。 请 先 确定 该 服务 
是 否 是 用 户 自己 安装 并 且 是 必需 的 ,如 果 不 是 请 关闭 。 

关闭 6129 端口 。 

选择 “开始 ”|* 设 置 ?|* 控 制 面 板 "|* 管 理工 具 ”|* 服 务 ”。 找 到 DameWare Mini 
Remote Control 项 单 击 右键 选择 属性 选项 ,将 启动 类 型 改 成 禁用 后 停止 该 服务 。 到 c:\ 
winnt\system32 (系统 目录 ) 下 将 DWRCS. EXE 程序 删除 ,到 注册 表 内 将 HKEY _ 
LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS 表 项 删除 。 

6) 1029 端口 和 20168 端的 关闭 

这 两 个 端口 是 lovgate 蠕虫 所 开放 的 后 门 端口 。 

蠕虫 相关 信息 请 参见 Lovgate 蠕虫 。http: /Vit rising. com. cn/newSite/Channels/ 
anti_virus/ Antivirus_Base/ TopicExplorerPagePackage/lovgate. htm 。 

用 户 可 以 下 载 专 杀 工具 http: //it. rising. com. cn/service/technology/RS_LovGate 
_download. htm 。 

使 用 方法 : 下 载 后 直接 运行 ,在 该 程序 运行 结束 后 重启 计算 机 后 再 运行 一 遍 该 程序 。 

7) 45576 端口 的 关闭 

这 是 一 个 代理 软件 的 控制 端口 .请 先 确定 该 代理 软件 并 非 用 户 自己 安装 的 (代理 软 
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件 会 给 用 户 的 机 器 带 来 额外 的 流量 )。 
关闭 以 下 代理 软件 : 
。 请 先 使 用 fport 查看 出 该 代理 软件 所 在 的 位 置 。 
。 在 服务 中 关闭 该 服务 (通常 为 SkSocks) ,将 该 服务 关 掉 。 
。 到 该 程序 所 在 目录 下 将 该 程序 删除 。 


习 是 人 


1. 在 网 络 系统 中 ,端口 指 的 是 什么 ? 
2. 网 络 端口 如 何 进行 分 类 ? 

3. 端口 扫描 的 基本 原理 是 什么 ? 

4. 端口 扫描 器 的 主要 用 途 是 什么 ? 
5. 端口 扫描 器 的 主要 能 力 是 什么 ? 
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1411 嗅 探 技 术 与 嗅 探 器 


嗅 探 器 (Csniffer) 可 以 理解 为 一 个 安装 在 计算 机 上 的 窃听 设备 , 它 可 以 用 来 窗 听 计算 
机 在 网 络 上 所 产生 的 众多 的 信息 。 一 部 电话 的 窃听 装置 ,可 以 用 来 窃听 双方 通话 的 内 
容 ,而 计算 机 网 络 嗅 探 器 则 可 以 窃听 计算 机 程序 在 网 络 上 发 送 和 接收 到 的 数据 。 

嗅 探 器 是 利用 计算 机 的 网 络 接口 截获 目的 地 及 其 他 计算 机 数据 报 文 的 一 种 技术 。 
它 工 作 在 网 络 的 最 底层 ,把 网 络 传输 的 全 部 数据 记录 下 来 。 嗅 探 器 可 以 帮助 网 络 管理 员 
查找 网 络 漏洞 和 检测 网 络 性 能 , 嗅 探 器 可 以 分 析 网 络 的 流量 ,以 便 找 出 所 关心 的 网 络 中 
潜在 的 问题 。 不 同 传输 介质 的 网 络 可 监听 性 是 不 同 的 。 一 般 来 说 ,以 太 网 被 监听 的 可 能 
性 比较 高 ,因为 以 太 网 是 一 个 广播 型 的 网 络 ;FDDI Token 被 监听 的 可 能 性 也 比较 高 , 尽 
管 它 并 不 是 一 个 广播 型 网 络 ,但 带 有 令 牌 的 那些 数据 包 在 传输 过 程 中 ,平均 要 经 过 网 络 
上 一 半 的 计算 机 ;微波 和 无 线 网 被 监听 的 可 能 性 同样 比较 高 ,因为 无 线 电 本 身 是 一 个 广 
播 型 的 传输 介质 ,弥散 在 空中 的 无 线 电 信和 号 可 以 被 很 轻易 地 截获 。 一 般 情况 下 ,大 多 数 
的 嗅 探 器 至 少 能 够 分 析 下 面 的 协议 : 

。 标 准 以 太 网 协议 。 

。TCP/IP。 

» IPX, 
DECNET。 
» FDDI Token。 
微波 和 无 线 网 协议 。 

实际 应 用 中 的 嗅 探 器 分 软 、 硬 件 两 种 。 软 件 嗅 探 器 便宜 、 易 于 使 用 ,缺点 是 往往 无 法 
抓 取 网 络 上 所 有 的 传输 数据 (比如 碎片 ) ,也 就 无 法 全 面 了 解 网 络 的 故障 和 运行 情况 ; 硬 
件 嗅 探 器 通常 称 为 协议 分 析 仪 , 它 的 优点 恰恰 是 软件 嗅 探 器 的 缺点 ,但 是 价格 昂贵 。 目 
前 使 用 的 嗅 探 器 仍 是 以 软件 为 主 。 

嗅 探 器 捕获 真实 的 网 络 报 文 。 嗅 探 器 通过 将 其 置身 于 网 络 接口 来 达到 这 个 目的 。 
例如 ,将 以 太 网 卡 设置 成 混杂 模式 。 数 据 在 网 络 上 是 以 帧 (frame) 为 单位 传输 的 , 帧 是 通 
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过 特定 的 网 络 驱动 程序 进行 传送 的 ,然后 通过 网 卡 发 送 到 网 线 上 。 通 过 网 线 到 达 它 们 的 
目的 机 器 ,在 目的 机 器 的 一 端 执行 相反 的 过 程 。 接 收 端 机 器 的 以 太 网 卡 捕获 到 这 些 帧 ， 
并 告诉 操作 系统 帧 已 到 达 , 然 后 对 其 进行 存储 。 就 是 在 这 个 传输 和 接收 的 过 程 中 ,每 一 
个 在 LAN 上 的 工作 站 都 有 其 硬件 地 址 。 这 些 地 址 唯一 地 表示 网 络 上 的 机 器 。 当 用 户 发 
送 一 个 报 文 时 ,这 些 报 文 就 会 发 送 到 LAN 上 所 有 可 用 的 机 器 中 。 在 一 般 情况 下 ,网 络 上 
所 有 的 机 器 都 可 以 “ 侦 听 ”到 通过 的 流量 ,但 对 不 属于 自己 的 报 文 则 不 予 响应 。 如 果 某 工 
作 站 的 网 络 接口 处 于 混杂 模式 ,那么 它 就 可 以 捕获 网 络 上 所 有 的 报 文 和 帧 ,如 果 一 个 工 
作 站 被 配置 成 这 样 的 方式 , 它 就 是 一 个 嗅 探 器 。 这 也 是 嗅 探 器 会 造成 安全 方面 问题 的 原 
因 。 通 常 使 用 嗅 探 器 的 入侵 者 ,都 必须 拥有 基点 来 放置 嗅 探 器 。 对 于 外 部 人 侵 者 来 说 ， 
能 通过 入 侵 外 网 服务 器 、 往 内 部 工作 站 发 送 木 马 等 方式 获得 所 需 信 息 ,然后 用 基点 来 放 
置 其 嗅 探 器 ,而 内 部 破坏 者 就 能 够 直接 获得 嗅 探 器 的 放置 点 ,比如 使 用 附加 的 物理 设备 
作为 嗅 探 器 。 嗅 探 器 可 能 造成 的 危害 如 下 : 

嗅 探 器 能 够 捕获 口令 。 

能 够 捕获 专用 的 或 者 机 密 的 信息 。 

可 以 用 来 危害 网 络 邻 居 的 安全 ,或 者 用 来 获取 更 高 级 别 的 访问 权限 。 

分 析 网 络 结构 ,进行 网 络 渗透 。 


1112 通信 协议 分 析 


. 与 嗅 探 技 术 有 关 的 网 络 通信 设备 


中 继 器 。 中 继 器 的 主要 功能 是 终结 一 个 网 段 的 信号 并 在 另 一 个 网 段 再 生 该 信号 ， 
起 到 信号 放大 和 转发 的 作用 ,中 继 器 工作 在 物理 层 上 。 

网 桥 。 网 桥 使 用 MAC 物理 地 址 实现 中 继 功 能 ,可 以 用 来 分 隔 网 段 或 连接 部 分 异 
种 网 络 , 网 桥 工作 在 数据 链 路 层 。 

路 由 器 。 路 由 器 工作 在 网 络 层 ,主要 负责 数据 包 的 路 由 寻 径 ,也 能 处 理 物理 层 和 
数据 链 路 层 上 的 工作 。 

网 关 。 主 要 工作 在 网 络 第 4 层 以 上 ,主要 实现 收敛 功能 及 协议 转换 ,不 过 很 多 时 
候 网 关 都 被 用 来 描述 任何 网 络 互 连 设备 。 


2. TCP/IP 与 以 太 网 


~ 


以 太 网 和 TCP/IP 可 以 说 是 相辅相成 的 ,可 以 说 两 者 的 关系 几乎 是 密 不 可 分 的 ,以 
太 网 在 1.2 层 提供 物理 上 的 连 线 , 而 TCP/IP 工作 在 上 层 , 使 用 32 位 的 IP 地 址 ,以 太 网 
则 使 用 48 位 的 MAC 地 址 ,两 者 间 使 用 ARP 和 RARP 协议 进行 相互 转换 。 

载波 监听 /冲突 检测 (CSMA/CD) 技 术 被 普遍 使 用 在 以 太 网 中 ,所 谓 载波 监听 是 指 在 
以 太 网 中 的 每 个 站 点 都 具有 同等 的 权利 ,在 传输 自己 的 数据 时 ,首先 监听 信道 是 否 空闲 ， 
如 果 空 闲 , 就 传输 自己 的 数据 ,如 果 信道 被 占用 ,就 等 待 信道 空闲 。 而 冲突 检测 则 是 为 了 
防止 发 生 两 个 站 点 同时 在 网 络 发 送 数据 而 产生 的 冲突 。 以 太 网 采用 广播 机 制 , 所 有 与 网 
络 连接 的 工作 站 都 可 以 看 到 网 络 上 传递 的 数据 。 
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3. TCP/IP 通信 


在 TCP/IP 通信 中 ,网 络 接口 层 直接 与 硬件 地 址 相连 接 , 网 间 网 层 与 IP 地 址 相连 接 ， 
传输 层 与 TCP 接口 相连 接 , 应 用 层 则 是 面向 用 户 的 应 用 程序 接口 ,如 FTP、Telnet 等 接 
口 。 一 个 典型 的 在 以 太 网 中 客户 与 服务 器 使 用 TCP/IP 协议 的 通信 如 图 11-1 所 示 。 


应 用 层 
传输 层 

网 间 网 层 
网 络 接口 层 
物理 网 络 


用 户 进程 

内 核 中 的 协议 
内 核 中 的 协议 
以 太 网 驱动 程序 
物理 网 络 


图 11-1 TCP/IP 通信 拓扑 图 


11413 嗅 探 原理 


我 们 知道 ,计算 机 所 传送 的 数据 是 大 量 的 二 进 制 数据 。 因 此 ,一 个 网 络 窃 听 程 序 也 
必须 使 用 特定 的 网 络 协议 来 分 析 嗅 探 到 的 数据 , 嗅 探 器 也 就 必须 能 够 识别 出 哪个 协议 对 
应 于 这 个 数据 片断 ,只 有 这 样 才能 够 进行 正确 的 解码 。 

网 络 嗅 探 器 比 起 电话 窃听 器 来 说 ,有 它 独 特 的 优势 ,很 多 的 计算 机 网 络 采用 的 是 “ 共 
享 媒 体 ”。 几 乎 可 以 在 任何 连接 着 的 网 络 上 直接 窃听 到 同一 掩 码 范 围 内 的 计算 机 网 络 数 
据 , 这 种 窃听 方式 称 为 “基于 混杂 模式 的 嗅 探 "(promiscuous mode) 。 

我 们 知道 ,在 以 太 网 中 ,所 有 的 通信 都 是 广播 方式 ,也 就 是 说 通常 在 同一 个 网 段 的 所 
有 网 络 接口 都 可 以 接收 在 物理 媒体 上 传输 的 所 有 数据 ,而 每 一 个 网 络 接口 都 有 一 个 唯一 
的 硬件 地 址 ,这 个 硬件 地 址 也 就 是 网 卡 的 MAC 地 址 ,MAC 使 用 的 是 48 比特 的 地 址 ,这 
个 地 址 用 来 表示 网 络 中 的 每 一 个 设备 ,每 块 网 卡 上 的 MAC 地 址 都 是 不 同 的 。 在 硬件 地 
址 和 IP 地 址 间 使 用 ARP 和 RARP 协议 进行 相互 转换 。 

在 正常 的 情况 下 ,一 个 网 络 接口 应 该 只 通过 响应 下 述 的 两 种 数据 帧 来 完成 : 

。 与 自己 硬件 地 址 相 匹配 的 数据 帧 。 

。 发 向 所 有 机 器 的 广播 数据 帧 。 

网 卡 接收 到 传输 来 的 数据 ,网 卡 内 的 单 片 程 序 接收 数据 帧 的 目的 MAC 地 址 ,根据 计 
算 机 上 的 网 卡 驱动 程序 设置 的 接收 模式 判断 该 不 该 接收 ,认为 该 接收 就 在 接收 后 产生 中 
断 信号 通知 CPU ,认为 不 该 接收 就 丢掉 不 管 ,所 以 不 该 接收 的 数据 在 网 卡 处 就 截断 了 , 计 
算 机 根本 就 不 知道 。CPU 得 到 中 断 信号 产生 中 断 , 操 作 系统 就 根据 网 卡 的 驱动 程序 设置 
的 网 卡 中 断 程序 地 址 调用 驱动 程序 接收 数据 ,驱动 程序 接收 数据 后 放 入 信号 堆栈 让 操作 
系统 处 理 。 而 对 于 网 卡 来 说 一 般 有 4 种 接收 模式 。 

。 广播 方式 。 该 模式 下 的 网 卡 能 够 接收 网 络 中 的 所 有 广播 信息 。 

。 组 播 方式 。 设 置 在 该 模式 下 的 网 卡 能 够 接收 组 播 数据 。 

。 直接 方式 。 在 这 种 模式 下 .只 有 目的 网 卡 才能 接收 该 数据 。 
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。 混杂 模式 。 在 这 种 模式 下 的 网 卡 能 够 接收 一 切 通过 它 的 数据 ,而 不 管 该 数据 是 否 
是 传 给 它 的 。 
与 HUB 只 是 简单 地 把 所 接收 到 的 信号 通过 所 有 端口 重复 发 送出 去 不 同 ,Switch 却 
可 以 检查 每 一 个 收 到 的 数据 包 , 并 对 数据 包 进行 相应 的 处 理 。 在 Switch 内 保存 着 每 一 个 
网 段 上 所 有 结 点 的 物理 地 址 ,只 允许 必要 的 网 络 流量 通过 Switch。 举 例 来 说 , 当 Switch 
接收 到 一 个 数据 包 之 后 ,根据 自身 保存 的 网 络 地 址 表 检 查 数据 包 内 包含 的 发 送 方 和 接收 
方 地 址 。 如 果 接 收 方位 于 发 送 方 网 段 内 ,该 数据 包 就 会 被 Switch 丢弃 ,不 能 通过 交换 机 
传送 到 其 他 的 网 段 ;如 果 接 收 方 和 发 送 方位 于 两 个 不 同 的 网 段 , 该 数据 包 就 会 被 Switch 
转发 到 目标 网 段 。 这 样 , 通 过 交换 机 的 过 滤 和 转发 ,可 以 有 效 避 免 网 络 广播 风暴 ,减少 误 
包 和 错 包 的 出 现 。 
通过 前 面 的 学 习 , 网 卡 接收 信息 技术 可 总 结 如 下 : 
。 在 以 太 网 中 是 基于 广播 方式 传送 数据 的 ,也 就 是 说 ,所 有 的 物理 信号 都 要 经 过 连 
接 在 以 太 网 段 上 的 机 器 。 
。 网 卡 可 以 置 于 混杂 模式 (promiscuous) ,在 这 种 模式 下 工作 的 网 卡 能 够 接收 到 一 
切 通过 它 的 数据 ,而 不 管 实际 上 数据 的 目的 地 址 是 不 是 自己 的 。 这 实际 上 就 是 
Sniff 工作 的 基本 原理 ,让 网 卡 接收 一 切 能 接收 的 数据 。 
来 看 一 个 简单 的 例子 ,如 图 11-2 所 示 , 机 器 A、B、C 与 集线器 HUB 相连 接 , 集 线 器 
HUB 通过 路 由 器 Router 访问 外 部 网 络 。 


机 器 A 机 器 B ”机 器 C 
图 11-2 一 个 简单 的 以 太 拓扑 图 


值得 注意 的 一 点 是 机 器 A、B.C 使 用 一 个 普通 的 HUB 连接 的 ,不 是 用 Switch, 也 不 
是 用 Router, 使 用 Switch 和 Router 的 情况 要 比 这 复杂 得 多 。 

假设 机 器 A 上 的 管理 员 为 了 维护 机 器 C, 使 用 了 一 个 FTP 命令 向 机 器 C 进行 登录 ， 
那么 在 这 个 用 HUB 连接 的 网 络 里 数据 走向 过 程 是 这 样 的 。 首 先 机 器 A 上 的 管理 员 输 
入 的 登录 机 器 C 的 FTP 命令 经 过 应 用 层 FTP 协议 .传输 层 TCP 协议 、 网 络 层 IP 协议 和 
数据 链 路 层 上 的 以 太 网 驱动 程序 一 层 一 层 的 包 庄 ,最 后 送 到 了 物理 层 所 连接 的 网 线 上 ， 
如 图 11-3 所 示 。 接 下 来 数据 帧 送 到 了 HUB 上 ,再 由 HUB 向 每 一 个 接点 广播 由 机 器 人 
发 出 的 数据 帧 ,机 器 B 接收 到 由 HUB 广播 发 出 的 数据 帧 ,并 检查 在 数据 帧 中 的 地 址 是 否 
和 自己 的 地 址 相 匹配 ,发 现 不 是 发 向 自己 的 数据 后 就 把 这 数据 帧 丢弃 ,不 子 理 皮 。 而 机 
器 C 也 接收 到 了 数据 帧 ,并 在 比较 之 后 发 现 是 自己 的 数据 帧 , 接 下 来 就 对 这 数据 帧 进行 
接收 和 分 析 处 理 。 

在 这 个 简单 的 例子 中 ,机 器 B 上 的 管理 员 如 果 很 好 奇 . 想 知道 究竟 登录 机 器 C 上 FTP 
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口令 是 什么 ,要 做 的 事情 是 很 简单 的 ,仅仅 需要 把 自己 机 器 上 的 网 卡 置 于 混杂 模式 , 即 可 接 
收 数据 ,接着 对 接收 到 的 数据 帧 进行 分 析 , 从 而 可 得 到 包含 在 数据 帧 中 所 想 知道 的 信息 。 


FTP 命 令 

机 器 A 1 

应 用 层 FTP 协 议 

1 HUB 
[传输 层 TCP 协 议 | 

1 

网 络 层 下 协议 
1 

网 络 接口 层 以 大 网 卡 驱动 程序 机 器 B 。 机 器 C 


图 11-3 FTP 命令 执行 过 程 


1114 简单 的 嗅 探 技 术 
本 小 节 介 绍 几 种 常用 的 嗅 探 技术 。 
1. ARP Spoof(ARP 欺骗 ) 


ARP Spoof 攻击 的 根本 原理 是 因为 计算 机 中 维护 着 一 个 ARP 高 速 缓存 ,并 且 这 个 
ARP 高 速 缓存 是 随 着 计算 机 不 断 的 发 出 ARP 请 求 和 收 到 ARP 响应 而 不 断 地 更 新 的 ， 
ARP 高 速 缓存 的 目的 是 把 机 器 的 IP 地 址 和 MAC 地 址 相互 映射 ( 绑 定 )。 可 以 使 用 ARP 
命令 来 查看 自己 的 ARP 高 速 缓存 。 现 在 设想 一 下 .一 个 Switch 工作 在 数据 链 路 层 , 根 
据 MAC 地 址 来 转发 它 所 接收 的 数据 包 , 而 计算 机 维护 的 ARP 高 速 缓存 却 是 动态 的 。 在 
这 种 情况 下 ,会 发 生 什么 样 的 事情 呢 ? 

为 了 便于 分 析 ,在 此 为 3 台 计算 机 统一 分 配 IP 地 址 。 

假设 机 器 A 的 IP 地 址 为 10.0.0.1,MAC 地 址 为 20-53-52-43-00-01 ,机 器 B 的 IP 地 
址 为 10. 0. 0.2,MAC 地 址 为 20-53-52-43-00-02 ,机 器 C 的 IP 地 址 为 10. 0. 0.3,MAC 地 
址 为 20-53-52-43-00-03 。 

现在 机 器 B 上 的 管理 员 想 窃取 机 器 A 向 机 器 C 发 送 的 信息 ,他 向 机 器 A 发 出 一 个 
ARP Reply (ARP 应 答 ) ,其 中 目的 IP 地 址 为 10.0. 0.1, 目 的 MAC 地 址 为 20-53-52-43- 
00-01 ,而 源 IP 地 址 为 10. 0. 0. 3 , 源 MAC 地 址 为 20-53-52-43-00-02 .机 器 A 收 到 ARP 命 
令 信息 后 就 会 及 时 更 新 它 的 ARP 高 速 缓存 的 内 容 , 并 相信 了 IP 地 址 为 10. 0. 0. 3 的 机 
器 的 MAC 地 址 是 20-53-52-43-00-02。 当 机 器 A 上 的 管理 员 发 出 一 条 FTP 命令 ftp 
10. 0. 0. 3( 其 本 意 是 用 FTP 命令 登录 机 器 C) 时 ,数据 包 即 被 送 到 了 Switch,Switch 查看 
数据 包 中 的 目的 地 址 ,发 现 MAC 为 20-53-52-43-00-02, 于 是 ,就 把 数据 包 发 到 了 机 器 B 
上 。 这 就 是 典型 的 ARP 欺骗 技术 。 


2. MAC Flooding(MAC 地 址 溢出 ) 


在 上 面 曾经 提 到 过 ,Switch 之 所 以 能 够 由 数据 包 中 目的 MAC 地 址 判断 出 它 应 该 把 
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数据 包 发 送 到 哪 一 个 端口 上 ,是 根据 自身 维护 的 一 张 ARP 地 址 表 。 这 张 地 址 表 可 能 是 
动态 的 也 可 能 是 静态 的 ,这 要 看 Switch 的 厂商 和 Switch 的 型 号 来 定 , 对 于 某 些 Switch 
来 说 , 它 维护 的 是 一 张 动态 的 地 址 表 , 并 且 地 址 表 的 大 小 是 有 上 限 的 ,比如 3com Superstack 
Switch 3300 就 是 这 样 一 种 Switch, 可 以 通过 发 送 大 量 错 误 的 地 址 信息 而 使 Switch 维护 的 地 
址 表 “ 溢 出 ”, 从 而 使 它 变 成 广播 模式 来 达到 所 要 Sniff 机 器 A 与 机 器 C 之 间 的 通信 的 目的 。 


3. Fake the MAC address( 伪 造 MAC 地 址 ) 


伪造 MAC 地 址 也 是 一 种 常用 的 办 法 ,不 过 这 要 基于 用 户 网 络 内 的 Switch 是 动态 更 
新 其 地 址 表 , 这 实际 上 和 上 面 说 到 的 ARP Spoof 有 些 类 似 , 只 不 过 现在 是 想 要 Switch 相 
信用 户 ,而 不 是 要 机 器 A 相信 用 户 。 因 为 Switch 是 动态 更 新 其 地 址 表 的 。 其 关键 技术 
是 需要 向 Switch 发 送 伪造 过 的 数据 包 , 其 中 源 MAC 地 址 对 应 的 是 机 器 C 的 MAC 地 
址 ,现在 Switch 就 把 机 器 C 和 用 户 的 端口 对 应 起 来 了 。 


4. ICMP Router Advertisements(ICMP 路 由 通告 ) 


这 主要 是 由 ICMP 路 由 器 发 现 协议 (IRDP) 的 缺陷 引起 的 ,在 Windows 95/98/2000 
及 Sun OS、Solaris 2.6 等 系统 中 ,都 使 用 了 IRDP 协议 ,Sun OS 系统 只 在 某 些 特定 的 情 
况 下 使 用 该 协议 ,而 Windows 95/98 和 Windows 2000 都 是 默认 的 使 用 IRDP 协议 。 
IRDP 协议 的 主要 内 容 就 是 告诉 人 们 谁 是 路 由 器 ,如 果 一 个 黑客 利用 IRDP 宣称 自己 是 
路 由 器 的 情况 是 很 糟糕 的 ,因为 所 有 相信 黑客 请 求 的 机 器 都 会 把 所 有 的 数据 都 发 送 给 黑 
客 所 控制 的 机 器 。 


5. ICMP Redirect(ICMP 重 定向 ) 


所 谓 ICMP 重 定向 ,就 是 指 告诉 机 器 向 另 一 个 不 同 的 路 由 发 送 它 的 数据 包 ,ICMP 重 
定向 通常 使 用 在 这 样 的 场合 下 ,假设 A 与 B 两 台 机 器 分 别 位 于 同一 个 物理 网 段 内 的 两 个 
逻辑 子 网 内 ,而 A 和 B 都 不 知道 这 一 点 ,只 有 路 由 器 知道 , 当 A 发 送 给 B 的 数据 到 达 路 
由 器 的 时 候 ,路 由 器 会 向 A 送 一 个 ICMP 重 定向 包 , 将 B 的 真实 地 址 告诉 人, 这样 ,A 就 
可 以 和 B 直接 通信 了 。 而 一 个 黑客 完全 可 以 利用 这 一 点 来 进行 攻击 ,使 得 人 发 送 给 B 的 
数据 直接 发 送 给 黑客 。 


112 寓 用 嗅 探 露 


现在 网 络 上 经 常 使 用 的 Sniff 有 基于 Windows 环境 下 的 Sniff 和 基于 UNIX 环境 下 
的 Sniff 。 

基于 Windows 环境 下 的 Sniff 有 netxray 以 及 Sniffer pro, 基 于 UNIX 环境 下 Sniff 
有 Sniffit.Snoop、TCPdump 和 Dsniff 等 。 
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1121 Sniffit 


Sniffit 可 以 运行 在 Solaris、SGI 和 Linux 等 平台 上 ,由 Lawrence Berkeley Laboratory 实 
验 室 开 发 的 一 个 免费 的 网 络 监听 软件 。 而 Sniffit PRO 版 支持 Windows NT, 也 支持 
Windows 2000。 

使 用 方法 如 下 

-a: 以 ASCII 形式 将 监听 的 结果 输出 。 

-A: 在 进行 记录 时 ,所 有 不 可 打印 的 字符 都 可 代替 。 

-b: 等 同 于 同时 使 用 参数 -t & -s。 

-d: 将 监听 所 得 内 容 以 十 六 进 制 方式 显示 在 当前 终端 。 

-p: 记录 连接 到 的 包 ,0 为 所 有 端口 。 默 认为 0。 

-P protocol: 选择 要 检查 的 协议 ,默认 为 TCP。 可 能 的 选择 有 IP、TCP、ICMP、UDP 
和 它们 的 组 合 。 

-s: 指定 Sniffer 检查 发 送 的 数据 包 。 

-t: 指定 Sniffer 检查 发 送 到 的 数据 包 。 


-i; 进入 交互 模式 。 
-1: 设 定 数据 包 大 小 ,default( 默 认 值 ) 是 300 字 节 。 
例如 : 


想 要 记录 从 主机 210. 50. 30. 100 上 的 用 户口 令 : 
sniffit: ~ /#sniffit-p23-t 210.50.30.100 
想 要 记录 到 主机 210. 50. 30. 100 的 ftp 服务 : 
sniffit: ~ /#sniffit-p21-10-t210.50.30.100 
记录 所 有 发 出 和 发 往 主机 210. 50. 30. 100 的 电子 邮件 信息 : 
sniffit: ~ /#sniffit-p25-10-b-t 210.50.30.100 
或 者 
sniffit: ~ /#sniffit-p25-10;-b;-s ;210.50.30.100 
想 要 使 用 有 菜单 的 界面 : 
sniffit: ~ /#sniffit-i 
网 络 出 现 一 些 错 误 , 想 要 查看 控制 消息 : 
sniffit: ~ /#sniffit-p icm-b-s210.50.30.100 
将 口令 记录 在 以 nnn 开始 的 文件 中 ,可 以 用 cat nnn * 来 查看 : 
sniffit: ~ /#sniffit -p23-A.-t 210.50.30.100 


或 者 
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sniffit: ~ /#sniffit -p23-A^-t mmy.net 
下 面 是 运行 sniffit 的 一 个 例子 。 
# sniffit-a-R .-p23-t 11.2.33.14 


入 口 参数 的 设置 非常 简单 ,为 -a 接收 所 有 信息 ;-A 将 不 可 打印 字符 用 “. "代替 ;-p 监 
听 端 口 23;-t 目标 地 址 在 11. 22. 33 子 网 范围 (可 以 只 监听 一 台 主 机 或 者 是 源 主 机 ) ,使 
用 -s 参数 可 以 指定 监听 的 源 主机 。 网 络 监听 程序 的 人 口 参数 其 实 非 常 简单 ,只 要 具有 初 
步 的 网 络 知识 便 可 以 正确 地 使 用 它们 。 以 下 是 监听 到 的 部 分 结果 。 


Packet D ram 1P.port- to P.port: 11 22.33.41.1028 11.2.33.14.23 
E..35,0, .oolo (sooo KR.2.P."/.: .Vt100.. 


出 现 vtl00 的 字样 ,是 使 用 Telnet 服务 时 , 源 主机 与 目标 主机 进行 终端 类 型 协商 ,在 
这 一 阶段 源 主机 告诉 目标 主机 自己 使 用 的 终端 类 型 ,这 是 一 次 远程 终端 服务 的 开始 。 在 
这 之 后 ,很 可 能 就 会 传输 用 户 的 登录 名 和 口令 字 。 这 里 很 清楚 ,使 用 端口 1028 的 是 客户 
端 ,而 使 用 端口 23 的 是 服务 器 端 。 


1122 hop 


Snoop 默认 情况 安装 在 Solaris 下 ,是 一 个 用 于 显示 网 络 交通 的 程序 。 
使 用 方法 如 下 : 


[-a ]: Listen to packets cn audio 

[-d device ]: settable to le, ie,bf,tr 

[-5 snaplen ]: Truncate packets 

[-c count ]: Quit after count packets 

[-P ]: Tum OFF promiscuous mode 

[-D ]: Report dropped Packets 

[-S ]: Report packet size 

[-i file ]: Read previously captured packets 
[-o file ]: Capture packets in file 

[-n file ]: Ioad adir to- name table fran file 
[-N ]: Create addr to name table 

[-t rlald ]: Time: Relative, Absolute or Delta 
[-v ]: Verbose packet display 

[-V]: show all sumary lines 

[-p first[,]ast] ]: Select packet (s) to display 
[ -x offset[, length] ]: Hex dump from offset for length 
[-C ]: Print packet filter code 


1123 TCPdunp 


1. TCPdump 命令 格式 
TCPdump 采用 命令 行 方式 , 它 的 命令 格式 为 : 
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TCPdmp [ -adefinNopqStvx ][-c 数 量 ][-F 文 件 名 ][-iL 网 络 接口 ][-r 文 件 名 ][-5 snaplen ][-T 类 型 
][-w 文 件 名 ][ 表 达 式 ] 


2. TCPdump 的 选项 


-a: 将 网 络 地 址 和 广播 地 址 转变 成 名 字 。 

-d: 将 匹配 信息 包 的 代码 以 人 们 能 够 理解 的 汇编 格式 给 出 。 

-dd: 将 匹配 信息 包 的 代码 以 C 语言 程序 段 的 格式 给 出 。 

-ddd: 将 匹配 信息 包 的 代码 以 十 进 制 的 形式 给 出 。 

-e: 在 输出 行 打印 出 数据 链 路 层 的 头 部 信息 。 

-f: 将 外 部 的 Internet 地 址 以 数字 的 形式 打印 出 来 。 

-1: 使 标准 输出 变 为 缓冲 行 形式 。 

-n: 不 把 网 络 地 址 转换 成 名 字 。 

-t: 在 输出 的 每 一 行 不 打印 时 间 戳 。 

-v: 输出 一 个 稍微 详细 的 信息 ,例如 在 IP 包 中 可 以 包括 TTL 和 服务 类 型 的 信息 。 
-vv: 输出 详细 的 报 文 信息 。 

-c: 在 收 到 指定 的 包 的 数目 后 .TCPdump 就 会 停止 。 

-F: 从 指定 的 文件 中 读 取 表达 式 , 忽 略 其 他 的 表达 式 。 

-i: 指定 监听 的 网 络 接口 。 

-r: 从 指定 的 文件 中 读 取 包 (这 些 包 一 般 通 过 -w 选项 产生 ) 。 

-w: 直接 将 包 写 人 文件 中 ,并 不 分 析 和 打印 出 来 。 

-T: 将 监听 到 的 包 直 接 解释 为 指定 的 类 型 的 报 文 ,常见 的 类 型 有 rpc 和 snmp。 


3. TCPdump 的 表达 式 


表达 式 是 一 个 条 件 表达 式 ,TCPdump 利用 它 作 为 过 滤 报 文 的 条 件 , 如 果 一 个 报 文 满 
足 表达 式 的 条 件 , 则 这 个 报 文 将 会 被 捕获 。 如 果 没 有 给 出 任何 条 件 , 则 网 络 上 所 有 的 信 
息 包 将 会 被 截获 。 

在 表达 式 中 一 般 有 如 下 几 种 类 型 的 关键 字 , 第 一 种 是 关于 类 型 的 关键 字 , 主要 包括 
host net 以 及 port, 例 如 host 210. 27. 48.2 ,指明 210. 27. 48. 2 是 一 台 主 机 ,net 202. 0. 0.0 
指明 202. 0. 0. 0 是 一 个 网 络 地 址 ,port 23 指明 端口 号 是 23。 如 果 没 有 指定 类 型 ,默认 的 
类 型 是 host。 

第 二 种 是 确定 传输 方向 的 关键 字 ,主要 包括 src .dst ,dst or src 以 及 dst and src, 这 些 
关键 字 指 明了 传输 的 方向 。 举 例 说 明 ,src 210. 27. 48. 2 ,指明 IP 包 中 源 地 址 是 210. 27. 
48.2,dst net 202. 0.0.0 指明 目的 网 络 地 址 是 202. 0.0.0。 如 果 没 有 指明 方向 关键 字 , 则 
默认 是 src or dst 关键 字 。 

第 三 种 是 协议 的 关键 字 , 主 要 包括 fddi、ip、arp、rarp、tcp 和 udp 等 类 型 。fddi 指明 是 
在 FDDI( 分 布 式 光纤 数据 接口 网 络 ) 上 的 特定 的 网 络 协议 ,实际 上 它 是 Ether 的 别名 ， 
FDDI 和 Ether 具有 类 似 的 源 地 址 和 目的 地 址 ,所 以 可 以 将 FDDI 协议 包 当 作 Ether 的 包 
进行 处 理 和 分 析 , 其 他 的 几 个 关键 字 就 是 指明 了 监听 的 包 的 协议 内 容 。 如 果 没 有 指定 任 


272 Dis ats tsnat 


何 协议 , 则 TCPdump 将 会 监听 所 有 协议 的 信息 包 。 

除了 这 3 种 类 型 的 关键 字 之 外 ,其 他 重要 的 关键 字 如 下 : 

gateway、broadcast、less、greater, 还 有 三 种 逻辑 运算 ,“ 非 ”运算 是 not 和 “1”;“ 与 " 运 
算是 and 和 “&&”;“ 或 ”运算 是 or 和 “| 1”。 

例如 : 

#TCPdmp host 210.40.10.133 

将 监听 IP 地 址 为 210. 40. 0. 133 的 机 器 的 通话 。 

# TCEdurmp host 210.40.10.133 and 210.40.10.135 

将 监听 IP 地址 为 210. 40. 0. 133 及 IP 地 址 为 210. 40. 10. 135 的 机 器 的 通话 。 


# TCEdump tap port 23 host 210.40.10.133 
将 监听 IP 地 址 为 210. 40. 10. 133 的 机 器 的 23 端口 的 通话 。 


1124 Dsniff 


Dsniff 不 仅仅 是 一 个 sniff ,在 它 的 整个 套件 包 中 ,包含 了 很 多 其 他 有 用 的 工具 ,如 
arpspoof dnsspoof .macof 和 tcpkill 等 , 比 Sniff 的 手段 更 加 的 多 样 和 复杂 化 。Dsniff 是 
由 DugSong 开发 的 。 目 前 Dsniff 支持 OpenBSD (i386)、 Redhat Linux(i386) 和 Solaris 
(sparc) ,并 且 在 FreeBSD、Debian Linux、Slackware Linux、AIX 和 HP-UX 上 也 能 运转 
得 很 好 。 但 是 Dsniff 需要 几 个 其 他 的 第 三 方 软件 进行 支持 ,它们 分 别 是 Berkeley DB、 
OpenSSL libpcap \libnet 和 libnids 。 


113 网 络 嗅 探 防范 技术 


1131 如 何在 网 络 上 发 现 Sniffer 


检测 嗅 探 器 可 以 采用 检测 混杂 模式 网 卡 的 工具 。 由 于 嗅 探 器 需要 将 网 络 中 人 侵 的 
网 卡 设置 为 混杂 模式 才能 工作 .能够 检测 混杂 模式 网 卡 的 AntiSniff 是 一 个 工具 。 证 明 
网 络 被 嗅 探 有 以 下 3 种 方法 : 


1. 网 络 通信 丢 包 率 非常 高 


通过 一 些 网 管 软件 ,可 以 看 到 信息 包 传送 情况 .最 简单 是 ping 命令 。 它 会 告诉 用 户 
掉 了 百 分 之 多 少 的 包 。 如 果 用 户 的 网 络 结构 正常 ,而 又 有 20%% 一 30%% 数 据 包 丢失 以 致 数 
据 包 无 法 顺畅 的 流 到 目的 地 。 就 有 可 能 有 人 在 监听 ,这 是 由 于 嗅 探 器 拦截 数据 包 导 
致 的 。 


2. 网 络 带 宽 出 现 反常 
通过 某 些 带宽 控制 器 ,可 以 实时 看 到 目前 网 络 带宽 的 分 布 情况 ,如 果 某 台 机 器 长 时 
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间 的 占用 了 较 大 的 带宽 ,这 台 机 器 就 有 可 能 在 监听 。 应 该 也 可 以 察觉 出 网 络 通信 速度 的 
变化 。 

对 于 SunOS 和 其 他 BSD UNIX 系统 可 以 使 用 lsof 来 检测 嗅 探 器 的 存在 。lsof 最 初 
的 设计 目的 并 非 为 了 防止 嗅 探 器 入 侵 ,但 因为 在 嗅 探 器 入 侵 的 系统 中 , 嗅 探 器 会 打开 其 
输出 文件 ,并 不 断 传 送信 息 给 该 文件 ,这 样 该 文件 的 内 容 就 会 越 来 越 大 。 如 果 利 用 lsof 
发 现 有 文件 的 内 容 不 断 的 增 大 ,就 怀疑 系统 被 嗅 探 。 因 为 大 多 数 嗅 探 器 都 会 把 截获 的 
“TCP/IP” 数 据 写 入 自己 的 输出 文件 中 。 这 里 可 以 用 ifconfig le0 检查 端口 ,然后 用 : 

# /usr/sbin/1sof> test 

# 玖 test 或 grep[ 打 开 的 端口 号 ] 
检测 文件 大 小 的 变化 。 

注意 ,如 果 用 户 确信 有 人 接 了 嗅 探 器 到 自己 的 网 络 上 ,可 以 去 找 一 些 进行 验证 的 工 
具 , 这 种 工具 称 为 时 域 反射 计量 器 (Time Domain Reflectometer,TDR)。TDR 对 电磁 波 
的 传播 和 变化 进行 测量 。 将 一 个 TDR 连接 到 网 络 上 ,能 够 检测 到 未 授权 的 获取 网 络 数 
据 的 设备 。 


3. 查看 进程 


在 Windows 下 , 按 Ctrl 十 Alt 十 Del 组 合 键 ,查看 “应 用 程序 ”“ 进 程 " 和 “用 户 ” 项 , 若 
发 现 可 疑 的 程序 、 进 程 和 用 户 , 则 可 怀疑 机 器 被 sniffer, 或 是 被 病毒 侵袭 ,或 是 正在 被 黑 
客 攻击 。 


1132 人 Sniffer 的 防范 措施 


嗅 探 器 通常 是 难以 被 发 现 的 ,因为 它 是 被 动 的 程序 ,一 个 老练 的 攻击 者 可 以 轻易 通 
过 破坏 日 志文 件 来 掩盖 信息 ,它们 并 不 会 给 别人 留 下 进行 核查 的 尾巴 。 完 全 主动 的 解决 
方案 很 难 找到 ,可 以 采用 一 些 被 动 的 防御 措施 。 

。 安全 的 拓扑 结构 。 

。 会 话 加密 。 

。 用 静态 的 ARP 或 者 IP-MAC 对 应 表 代替 动态 的 ARP。 


1. 安全 的 拓扑 结构 


嗅 探 器 只 能 在 当前 网 段 上 进行 数据 捕获 。 这 就 意味 着 ,将 网 络 分 段 工作 进行 得 越 
细 , 嗅 探 器 能 够 收集 的 信息 就 越 少 。 但 是 ,除非 用 户 的 公司 是 一 个 ISP ,或 者 资源 相对 不 
受 限 制 ,否则 这 样 的 解决 方案 需要 付出 很 大 的 代价 。 网 络 分 段 需要 昂贵 的 硬件 设备 。 有 
三 种 网 络 设备 是 嗅 探 嚣 不 可 能 跨 过 的 ,交换 机 、 路 由 器 和 网 桥 。 可 以 通过 灵活 的 运用 这 
些 设 备 来 进行 网 络 分 段 。 大 多 数 早期 建立 的 内 部 网 络 都 使 用 HUB 来 连接 多 台 工 作 站 ， 
这 就 是 网 络 中 数据 的 泛 播 (数据 向 所 有 工作 站 流通 ), 让 嗅 探 器 能 顺利 地 工作 提供 了 便 
利 。 普 通 的 嗅 探 器 程序 只 是 简单 地 进行 数据 的 捕获 ,因此 需要 杜绝 网 络 数据 的 泛 播 。 随 
着 交换 机 的 价格 下 降 , 网 络 改 造 变 得 可 行 且 很 必要 。 不 使 用 HUB 而 用 交换 机 来 连接 网 


274 


Mins nts ssnnt 


络 , 就 能 有 效 地 避免 数据 进行 泛 播 ,也 就 是 避免 让 一 个 工作 站 接收 与 之 不 相关 的 数据 。 对 
网 络 进行 分 段 ,比如 在 交换 机 上 设置 VLAN ,使 得 网 络 隔离 不 必要 的 数据 传送 。 一 般 可 
以 采用 20 个 工作 站 为 一 组 ,这 是 一 个 比较 合理 的 数字 。 然 后 ,每 个 月 人 为 地 对 每 个 网 段 
进行 检测 (也 可 以 每 个 月 采用 MD5 随机 地 对 某 个 网 段 进 行 检测 )。 网 络 分 段 只 适应 于 中 
小 型 的 网 络 。 如 果 有 一 个 500 个 工作 站 的 网 络 ,分 布 在 50 个 以 上 的 部 门 中 ,车 要 对 其 完 
全 分 段 的 话 , 成 本 上 是 很 高 的 。 


2. 会 话 加 密 


会 话 加 密 提 供 了 另外 一 种 解决 方案 。 不 用 特别 地 担心 数据 被 嗅 探 ,而 是 要 想 办 法 使 
得 嗅 探 器 不 认识 嗅 探 到 的 数据 。 这 种 方法 的 优点 是 明显 的 ,即使 攻击 者 嗅 探 到 了 数据 ， 
这 些 数据 对 他 也 是 没有 用 的 。S/key 和 其 他 一 次 性 口令 技术 一 样 ,使 窃听 账号 信息 失去 
意义 。S/key 的 原理 是 远程 主机 已 得 到 一 个 口令 (这 个 口令 不 会 在 不 安全 的 网 络 中 传 
输 ) , 当 用 户 连接 时 会 获得 一 个 “挑战 ”"(challenge) 信 息 , 用 户 将 这 个 信息 和 口令 经 过 某 种 
算法 运算 ,产生 正确 的 “响应 ”(response) 信 息 ( 如 果 通 信 双 方 口令 正确 的 话 )。 这 种 验证 
方式 无 须 在 网 络 中 传输 口令 ,而且 相 同 的 “挑战 /响应 ”也 不 会 出 现 两 次 。 它 的 缺点 是 所 
有 账号 信息 都 存放 在 一 台 主 机 中 ,如 果 该 主机 被 入 侵 , 则 会 危及 整个 网 络 安全 。 另 外 配 
置 它 也 不 是 一 件 简单 的 事情 。Kerberos 包括 流 加 密 rlogind 和 流 加 密 telnetd 等 , 它 可 以 
防止 入侵 者 捕获 用 户 在 登录 完成 后 所 进行 的 操作 。 在 加 密 时 有 两 个 主要 的 问题 : 一 个 是 
技术 问题 ,一 个 是 人 为 问题 。 

技术 问题 是 指 加 密 能 力 是 否 高 。 例 如 ,64 位 的 DES 加 密 就 可 能 不 够 安全 ,而 且 并 不 
是 所 有 的 应 用 程序 都 集成 了 加 密 支持 。 另 外 , 跨 平台 的 加 密 方案 还 比较 少见 ,一般 只 在 
一 些 特殊 的 应 用 之 中 才 有 。 人 为 问题 是 指 , 有 些 用 户 可 能 不 喜欢 加 密 , 他 们 觉得 这 太 麻 
烦 。 用 户 可 能 开始 会 使 用 加 密 , 但 很 少 能 够 坚持 下 来 。 总 之 ,必须 寻找 一 种 友好 的 媒介 ， 
还 要 具有 一 定 的 用 户 友好 性 。 使 用 secure shell、secure copy 或 者 IPv6 协议 都 可 以 使 信 
息 安全 的 传输 。 传 统 的 网 络 服 务 程序 ,SMTP、.HTTP、FTP、POP3 和 Telnet 等 在 本 质 上 
都 是 不 安全 的 ,因为 它们 在 网 络 上 用 明文 传送 口令 和 数据 , 嗅 探 器 非常 容易 就 可 以 截获 
这 些 口令 和 数据 。SSH 的 英文 全 称 是 Secure Shell。 通 过 使 用 SSH, 用 户 可 以 把 所 有 传 
输 的 数据 进行 加 密 。 还 有 一 个 额外 的 好 处 就 是 传输 的 数据 是 经 过 压缩 的 ,所 以 可 以 加 快 
传输 的 速度 。SSH 有 很 多 功能 , 它 既 可 以 代替 Telnet, 又 可 以 为 FTP、POP 甚至 PPP 提 
供 一 个 安全 的 “通道 "。SSH 绑 定 在 端口 22 上 ,其 连接 采用 协商 方式 使 用 RSA 加 密 。 身 
份 鉴别 完成 之 后 ,后 面 的 所 有 流量 都 使 用 IDEA 进行 加 密 。SSH 程序 可 以 通过 网 络 登录 
到 远程 主机 并 执行 命令 。SSH 的 加 密 隧道 保护 的 只 是 中 间 传 输 的 安全 性 ,使 得 任何 通常 
的 嗅 探 工 具 软 件 无 法 获取 发 送 的 内 容 。 它 提供 了 很 强 的 安全 验证 措施 ,可 以 在 不 安全 的 
网 络 中 进行 安全 的 通信 ,所 以 它 是 防范 嗅 探 器 的 一 种 较 好 的 方法 。 


3. 用 静态 的 ARP 或 者 IP-MAC 对 应 表 代 替 动 态 的 ARP 或 者 IP-MAC 对 应 表 


该 措施 主要 是 进行 渗透 嗅 探 的 防范 ,采用 诸如 ARP 欺骗 手段 能 够 让 入侵 者 在 交换 
网 络 中 顺利 完成 嗅 探 。 网 络 管理 员 需 要 对 各 种 欺骗 手段 进行 深入 了 解 , 比 如 嗅 探 中 通常 
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使 用 的 ARP 欺骗 ,主要 是 通过 欺骗 进行 ARP 动态 缓存 表 的 修改 。 在 重要 的 主机 或 者 工 
作 站 上 设置 静态 的 ARP 对 应 表 , 比 如 Windows 2000/XP 系统 使 用 ARP 命令 设置 ,在 交 
换 机 上 设置 静态 的 IP-MAC 对 应 表 等 ,防止 利用 欺骗 手段 进行 嗅 探 的 手法 。 

1) 本 机 MAC 地 址 和 IP 地 址 的 查找 

在 DOS 命令 窗口 下 ,用 ipconfig -all 命令 查找 本 机 的 MAC 地 址 和 IP 地 址 。 如 图 11-4 
所 示 。 


INDOWS\System32\cmdexe 


98-8C-P1-2D-45-81 


Realtek RTL8139 Fanily PCI Past Ethe 


88-BE-h6-B4-32-84 


218.48.9.36 


11-4 本 机 MAC 地 址 及 IP 地 址 
2) ARP 命令 的 用 法 
ARP Fa] -s] -d] < IP Biress> < MAC Bdress> 
参数 说 明 如 下 : 
显示 
定 一 个 MAC 地 址 和 IP 地 址 


-d: 删除 一 个 绑 定 
例如 : 


arp -5 10.1.23.31 0006A6B43284 


习 是 11 


1. 网 络 嗅 探 的 基本 原理 是 什么 ? 
网 卡 有 哪 几 种 数据 接收 模式 ? 
3. 如 何在 网 络 上 发 现 Sniffer? 
4. Sniffer 的 防范 措施 有 了 哪些? 


~ 
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21 入 复 机 病毒 概 迷 


1211 计算 机 病毒 的 定义 


1. 病毒 的 定义 


美国 计算 机 研究 专家 F. Cohen 博士 最 早 提 出 了 “计算 机 病毒 "的 概念 ,计算 机 病毒 是 
一 段 人 为 编制 的 计算 机 程序 代码 。 这 段 代码 一 旦 进入 计算 机 并 得 以 执行 , 它 就 会 搜寻 其 
他 符合 其 传染 条 件 的 程序 或 存储 介质 ,确定 目标 后 再 将 自身 代码 插入 其 中 ,达到 自我 繁 
殖 的 目的 。 其 特性 在 很 多 方面 与 生物 病毒 有 着 极其 相似 的 地 方 。 

《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 第 二 十 八条 中 对 计算 机 病毒 做 的 
定义 是 : 计算 机 病毒 ,是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 数 
据 , 影 响 计 算 机 使 用 .并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 

广义 上 说 , 凡 能 够 破坏 计算 机 正常 运行 和 破坏 计算 机 中 数据 并 能 进行 自我 复制 的 程 
序 代码 都 可 以 称 为 计算 机 病毒 。 


2. 计算 机 病毒 的 发 展 


从 1987 年 发 现 第 1 例 计 算 机 病毒 以 来 ,计算 机 病毒 的 发 展 经 历 了 以 下 几 个 主要 阶 
段 : DOS 引导 阶段 .DOS 可 执行 文件 阶段 .混合 型 阶段 .伴随 及 批 次 性 阶段 .多 形 性 阶段 、 
生成 器 及 变 体 机 阶段 、 网 络 及 蠕虫 阶段 .视窗 阶段 、 宏 病毒 阶段 和 互联 网 病毒 阶段 。 


亿 12 计算 机 病毒 的 基本 原理 


1. 计算 机 病毒 的 工作 原理 


1) 计算 机 病毒 的 主要 特征 

。 可 控 性 。 计 算 机 病毒 与 各 种 应 用 程序 一 样 也 是 人 为 编写 出 来 的 ,是 可 控制 的 。 

。 传染 性 。 病 毒 的 传染 性 又 称 * 自 我 复制 ?或 “再 生 ”。 再 生 是 判断 是 不 是 计算 机 病 
毒 的 最 重要 依据 。 在 一 定 条 件 下 ,病毒 通过 某 种 渠道 从 一 个 文件 和 一 台 计 算 机 传 
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染 到 另外 没有 被 病毒 传染 的 文件 和 计算 机 。 
夺取 系统 控制 权 。 计 算 机 病毒 的 首要 目标 就 是 争夺 系统 的 控制 权 。 一 般 采 用 修 
改 中 断 入 口 或 在 正常 程序 中 插入 一 段 病毒 程序 ,在 系统 启动 或 程序 调用 时 , 先 运 
行 病毒 程序 ,而 后 才 转 向 正常 的 系统 或 程序 运行 。 
隐蔽 性 。 计 算 机 病毒 的 隐 项 性 表现 在 两 个 方面 : 其 一 ,传染 的 隐蔽 性 ,大 多 数 病 
毒 在 进行 传染 时 不 具有 外 部 表现 ,不 易 被 人 发 现 ;其 二 ,一 般 的 病毒 程序 都 夹 在 正 
常 程序 之 中 ,很 难 被 发 现 。 
潜伏 性 。 一 个 编制 精巧 的 计算 机 病毒 程序 ,传染 计算 机 或 网 络 后 ,可 以 潜伏 几 周 
或 者 几 个 月 甚至 几 年 。 
2) 计算 机 病毒 发 作 的 触发 条 件 
。 利用 系统 时 钟 提供 的 时 间作 为 触发 机 制 ,这 种 触发 机 制 被 大 量 病毒 使 用 。 如 CIH 
病毒 是 在 每 月 的 26 日 才 会 触发 “黑色 星期 五 ”病毒 是 在 既是 13 日 又 是 星期 五 的 
日 子 才 触发 。 
利用 病毒 体 自 带 的 计数 器 作为 触发 器 。 
利用 特定 环境 作为 触发 条 件 。 

3) 不 可 预见 性 

不 同 种 类 病毒 的 代码 千差万别 ,病毒 的 制作 技术 也 在 不 断 地 提高 ,病毒 相对 于 反 病 
毒 软件 永远 是 超前 的 。 新 的 操作 系统 和 应 用 系统 的 出 现 , 软 件 技术 不 断 地 发 展 ,这 在 为 
计算 机 提供 了 新 的 发 展 空间 的 同时 ,也 使 未 来 病毒 的 预测 更 加 困难 ,这 就 要 求人 们 不 断 
提高 对 病毒 的 认识 ,增强 防范 意识 。 

4) 病毒 的 衍生 性 ,持久 性 和 欺骗 性 
人 们 可 以 对 一 种 计算 机 病毒 进行 改进 ,从 而 衍生 出 一 种 不 同 于 原版 本 的 新 的 计算 
机 病毒 (又 称 为 变种 病毒 ) 。 
计算 机 病毒 程序 可 由 一 个 受 感染 的 备份 通过 网 络 系统 反复 传播 ,使 得 病毒 的 感染 
具有 持久 性 和 复杂 性 。 
计算 机 病毒 行动 诡秘 ,而 计算 机 对 其 反应 却 较 “ 迟 钝 ,往往 把 病毒 造成 的 错误 当 
成 事实 接受 下 来 ,这 就 是 计算 机 病毒 的 欺骗 性 。 


2. 计算 机 病毒 的 作用 机 理 


任何 一 种 计算 机 病毒 都 是 由 引导 、 传 染 和 表现 3 个 部 分 组 成 的 。 

。 病毒 的 引导 部 分 的 作用 是 将 病毒 的 主体 加 载 到 计算 机 内 存 . 为 感染 部 分 作 准 备 ， 
在 这 期 间 发 生 驻 留 内存 、 修 改 中 断 地 址 、 修 改 存放 在 高 端 内 存 中 的 信息 、 保 存 原 中 
断 向 量 等 操作 。 引 导 部 分 也 就 是 病毒 的 初始 化 部 分 , 它 随 着 宿主 程序 的 执行 而 进 
入 内 存 , 为 传染 部 分 做 准备 。 

。 病毒 的 传染 部 分 的 作用 是 将 病毒 代码 程序 自动 传染 到 目标 上 去 。 不 同 的 病毒 在 
传染 方式 和 传染 条 件 上 各 有 不 同 。 

”病毒 的 表现 部 分 是 病毒 主体 部 分 ,病毒 对 计算 机 系统 的 破坏 就 是 表现 部 分 的 作 
为 ,病毒 的 引导 部 分 及 传染 部 分 都 是 为 表现 部 分 服务 的 。 大 部 分 病毒 都 是 在 一 定 
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的 条 件 下 才 会 触发 其 表现 部 分 的 。 
人 13 计算 机 病毒 的 分 类 


1. DOS 病毒 (DOS virus) 


指针 对 DOS 操作 系统 开发 的 病毒 。 由 于 Windows 2000/XP/2003 病毒 的 出 现 ， 
DOS 病毒 几乎 绝迹 。 但 DOS 病毒 在 Windows 2000/XP/2003 环境 中 仍 可 以 进行 感染 ， 
因此 车 执行 了 染 毒 程序 , Windows 2000/XP/2003 用 户 也 会 被 感染 。 使 用 现代 的 杀毒 软 
件 能 够 查 杀 的 病毒 中 一 半 以 上 都 是 DOS 病毒 ,可 见 DOS 时 代 DOS 病毒 的 泛滥 程度 。 但 
这 些 众多 的 病毒 中 除了 少数 几 个 让 用 户 胆战心惊 外 ,大 部 分 病毒 都 只 是 制作 者 出 于 好 奇 
或 对 公开 代码 进行 一 定 变形 而 制作 的 病毒 。 


2. Windows 病毒 (Windows virus) 


主要 指针 对 Windows 2000/XP/2003 操作 系统 的 病毒 。 现 在 的 计算 机 用 户 一 般 都 
安装 Windows 系统 , Windows 病毒 一 般 感 染 Windows 2000/XP/2003 系统 ,其 中 最 典型 
的 病毒 是 CIH 病毒 。 但 这 并 不 意味 着 可 以 忽略 系统 是 Windows NT 系列 包括 Windows 
2000/XP/2003 的 计算 机 。 一 些 Windows 病毒 不 仅 在 Windows 2000/XP/2003 上 正常 
感染 ,还 可 以 感染 Windows NT 上 的 其 他 文件 。 主 要 感染 的 文件 扩展 名 为 EXE、SCR、 
DLL 和 OCX 等 。 


3. 入 侵 型 病毒 (intrusion virus) 


可 用 自身 代替 正常 程序 中 的 部 分 模块 或 堆栈 区 。 因 此 这 类 病毒 只 攻击 某 些 特定 程 
序 , 针 对 性 强 。 一 般 情况 下 难以 发 现 ,清除 起 来 较 困难 。 


4. 舱 入 式 病 毒 (embedded virus) 


这 种 病毒 将 自身 代码 嵌入 到 被 感染 文件 中 , 当 文 件 被 感染 后 , 查 杀 和 清除 病毒 都 很 
困难 。 由 于 编写 嵌入 式 病毒 比较 困难 ,所 以 这 种 病毒 数量 不 多 。 


5. 外 壳 类 病毒 (shell virus) 


这 种 病毒 将 自身 代码 附着 于 正常 程序 的 首部 或 尾部 。 该 类 病毒 的 种 类 繁多 ,大 多 感 
染 文件 的 病毒 都 是 这 种 类 型 。 


6. 引导 区 病毒 (boot virus) 

通过 感染 软盘 的 引导 扇 区 和 硬盘 的 引导 扇 区 或 者 主 引 导 记 录 进 行 传播 的 病毒 。 
7. 文件 型 病毒 (file virus) 

指 将 自身 代码 插入 到 可 执行 文件 内 来 进行 传播 并 伺机 进行 破坏 的 病毒 。 
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8. 宏 病毒 (macro virus) 


使 用 宏 语言 编写 ,可 以 在 一 些 数 据 处 理 系统 (主要 是 微软 的 办 公 软 件 系 统 、 字 处 理 、 
电子 数据 表 和 其 他 Office 程序 中 ) 中 运行 ,利用 宏 语言 的 功能 将 自己 复制 并 且 繁 殖 到 其 
他 数据 文档 里 的 程序 。 


9. 蠕虫 病毒 (worm virus) 


通过 网 络 或 者 程序 漏洞 自主 传播 ,向 外 发 送 带 毒 邮件 或 通过 即时 通信 工具 (QQ、 
MSN 等 ) 发 送 带 毒 文件 ,阻塞 网 络 的 正常 通信 。 


10. 特洛伊 木马 (Trojan) 


通常 假扮 成 有 用 的 程序 诱骗 用 户主 动 激活 ,或 利用 系统 漏洞 侵入 用 户 计 算 机 。 木 马 
进入 用 户 计算 机 后 隐藏 在 的 系统 目录 下 ,然后 修改 注册 表 , 完 成 黑客 定制 的 操作 。 


11. 后 门 程序 (backdoor) 


会 通过 网 络 或 者 系统 漏洞 进入 用 户 的 计算 机 并 隐藏 在 系统 目录 下 ,被 开 后 门 的 计算 
机 可 以 被 黑客 远程 控制 。 黑 客 可 以 用 大 量 被 植 人 后门 程 序 的 计算 机 组 成 伪 尸 网 络 
(Botnet) 用 以 发 动 网 络 攻击 等 。 


12. 恶意 脚本 (harm script) .恶意 网 页 


使 用 脚本 语言 编写 ,嵌入 在 网 页 当中 ,调用 系统 程序 、 修 改 注册 表 对 用 户 计算 机 进行 
破坏 ,或 调用 特殊 指令 下 载 并 运行 病毒 .木马 文件 。 


13. 恶意 程序 (harm program) 
会 对 用 户 的 计算 机 ,文件 进行 破坏 的 程序 ,本 身 不 会 复制 和 传播 。 
14. 恶作剧 程序 (joke) 


这 一 类 程序 不 会 对 用 户 的 计算 机 、 文 件 造成 破坏 ,但 会 降低 计算 机 和 网 络 的 运行 效 
率 ,并 会 给 用 户 带 来 丽 慌 和 不 必要 的 麻烦 。 


亿 14 计算 机 病毒 的 破坏 能 力 


病毒 激发 对 计算 机 数据 信息 的 直接 破坏 作用 。 

干扰 系统 运行 ,使 运行 速度 下 降 。 

占有 磁盘 空间 和 对 信息 的 破坏 。 

强占 系统 资源 。 

干扰 W/O 设备 , 算 改 预定 设置 以 及 扰乱 运行 。 

破坏 网 络 系统 ,非法 使 用 网 络 资源 ,破坏 电子 邮件 ,发 送 垃圾 信息 ,占用 网 络 带 
宽 等 。 


280 Dis ats trait 


亿 2 入 复 机 病毒 的 珍 断 与 防 洽 技术 


1221 计算 机 病毒 的 检测 


1. 计算 机 病毒 的 表现 


当 一 台 计算 机 染 上 病毒 之 后 ,会 有 许多 明显 的 特征 。 例 如 ,文件 的 长 度 和 日 期 忽然 
改变 ,系统 执行 速度 下 降 , 出 现 一 些 奇怪 的 信息 ,无 故 死机 ,更 为 严重 的 是 硬盘 已 经 被 格 
式 化 了 。 

如 果 用 户 的 计算 机 上 出 现下 述 现象 , 则 有 可 能 是 感染 了 计算 机 病毒 。 
系统 启动 速度 比 平 时 慢 。 
系统 运行 速度 异常 。 

某 些 文件 的 长 度 及 文件 的 建立 日 期 发 生变 化 。 

没有 发 出 “ 写 " 操 作 命 令 而 出 现 “ 磁 盘 写 保护 ”的 提示 。 
在 内 存 中 发 现 不 明 程序 的 驻 留 或 不 明 进程 的 运行 。 
打印 机 、 显 示 器 有 异常 现象 。 

系统 自动 生成 一 些 不 明 的 特殊 文件 。 

文件 莫名 奇妙 地 丢失 。 

系统 自动 关机 。 

系统 经 常 异 常 死机 。 


2. 计算 机 病毒 的 诊断 


常见 的 防毒 软件 是 如 何 去 诊断 病毒 的 呢 ? 就 是 利用 所 谓 的 病毒 码 (virus pattern) 。 

病毒 码 其 实 可 以 想象 成 是 犯人 的 指纹 , 当 防 毒 软件 公司 收集 到 一 个 新 的 病毒 时 ,就 
会 从 这 个 病毒 程序 中 ,截取 小 段 独一无二 足以 表示 这 个 病毒 的 二 进 制 程序 代码 (binary 
code) ,来 当 作 扫 毒 程序 辨认 病毒 的 依据 ,而 这 段 独一无二 的 二 进 制程 序 码 就 是 所 谓 的 病 
毒 码 。 

反 病 毒 软件 常用 以 下 6 种 技术 来 查找 病毒 。 

1) 病毒 码 扫描 法 

将 新 发 现 的 病毒 加 以 分 析 , 根 据 其 特征 , 编 成 病毒 码 ,加 入 资料 库 中 。 以 后 每 当 执 行 
扫描 病毒 程序 时 ,能 立刻 扫描 目标 文件 ,并 与 病毒 代码 对 比 , 即 能 侦察 到 是 否 有 病毒 。 大 
多 数 防毒 软件 均 采用 这 种 方式 ,其 缺点 是 无 法 扫描 新 病毒 及 变种 病毒 。 

2) 加 总 比 对 法 

根据 每 个 程序 的 文件 名 称 、 大 小 、 时 间 及 内 容 , 加 总 ( 按 位 加 ) 为 一 个 检查 码 , 再 将 检 
查 码 附 于 程序 的 后 面 或 是 将 所 有 检查 码 放 在 同一 个 资料 库 中 ,利用 加 总 法 追踪 并 记录 每 
个 程序 的 检查 码 是 否 遭 到 更 改 ,以 判断 是 否 中 毒 。 这 种 技术 可 侦察 到 各 种 病毒 ,但 最 大 
的 缺点 是 误 判 较 高 , 且 无 法 确认 是 哪 种 病毒 感染 的 。 
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3) 人 工 智 能 陷阱 

人 工 智能 陷阱 是 一 种 监测 计算 机 行为 的 常 驻 内 存 扫描 技术 。 它 将 所 有 病毒 所 产生 
的 行为 归纳 起 来 ,一 旦 发 现 内 存 的 程序 有 任何 不 当 的 行为 ,系统 就 会 有 所 警觉 。 这 种 技 
术 的 优点 是 执行 速度 快 , 且 可 以 侦察 到 各 种 病毒 ;其 缺点 是 程序 设计 难度 大 。 

4) 软件 模拟 扫描 法 

软件 模拟 扫描 技术 专门 用 来 对 付 “ 千 面 人 ”病毒 (polymorphic/mutation virus) 。 千 
面 人 病毒 在 每 次 传染 时 ,都 以 不 同 的 随机 乱 数 加 密 于 每 个 中 毒 文 件 中 ,传统 病毒 码 比 对 
方式 根本 就 无 法 找到 这 种 病毒 。 

5) 先知 扫描 法 

软件 模拟 技术 可 以 建立 一 个 保护 模式 下 的 DOS 虚拟 机 器 ,模拟 CPU 动作 并 通过 执 
行程 序 以 解 开 变 体 引 擎 病毒 ,类 似 的 技术 也 可 以 用 来 分 析 一 般 程序 检查 可 疑 的 病毒 码 。 
因此 ,VICE 可 用 来 判断 程序 有 无 病毒 码 存在 的 方法 ,分 析 专 家 系统 知识 库 , 再 利用 软件 
工程 模拟 技术 (software emulation) 加 上 病毒 运行 机 制 , 则 可 分 析出 新 的 病毒 码 以 对 付 以 
后 的 病毒 。 这 就 是 先知 扫描 法 VICE(Virus Instruction Code Emulation)。 

6) 实时 1/O 扫描 

实时 IO 扫描 (real_time 1/O scan) 的 目的 是 在 于 及 时 地 对 数据 的 输入 输出 动作 做 
病毒 码 对 比 ,希望 能 够 在 病毒 尚未 被 执行 之 前 ,就 能 够 截留 下 来 。 实 时 扫描 技术 会 影响 
到 数据 的 输入 输出 速度 ,但 使 用 实时 扫描 技术 后 ,文件 一 旦 传人 就 已 经 被 扫描 和 清除 过 
病毒 了 。 


1222 计算 机 病毒 的 防范 措施 


防范 网 络 病毒 的 过 程 实际 上 就 是 技术 对 抗 的 过 程 , 反 病毒 技术 也 得 适应 病毒 繁衍 且 
随 其 传播 方式 的 发 展 而 不 断 调整 。 


1. 系统 防毒 措施 


"* 制定 系统 的 防毒 策略 。 

。 部 署 多 层 防 御 策略 。 

。 定期 更 新 防毒 定义 文件 和 引擎 。 

。 定期 备份 文件 。 

。 预订 可 发 布 新 病毒 威胁 警告 的 电子 邮件 。 


2. 终端 用 户 防毒 措施 


对 于 来 历 不 明 的 邮件 ,最 好 不 要 轻易 打开 而 是 将 其 直接 删除 。 

如 果 将 Microsoft Word 当 作 电 子 编辑 使 用 ,就 需要 将 NORMAL. DOT 在 操作 系 
统 级 设置 只 读 文 件 。 同 时 将 Microsoft Word 的 设置 更 改 为 “Prompt to Save 
Normal Template( 保 存 常规 模板 )”。 许 多 病毒 通过 更 改 NORMAL. DOT 文件 
进行 自我 传播 ,采取 上 述 措施 可 产生 阻止 作用 。 

加 上 存储 介质 的 写 保护 功能 。 
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3. 服务 器 防毒 措施 


目前 随 着 基于 Web 的 电子 邮件 访问 ,公共 文件 夹 以 及 访问 存储 器 的 映射 网 络 驱动 
器 等 方式 的 出 现 ,病毒 也 可 以 通过 多 种 方式 进入 电子 邮件 服务 器 。 这 时 ,就 只 有 基于 电 
子 邮 件 服务 器 的 解决 方案 才能 检测 和 删除 受 感染 的 文件 。 从 以 下 几 个 方面 可 以 做 到 
防毒 : 

。 拦截 受 感染 的 附件 。 

。 设置 全 面 的 随机 扫描 。 

。 试探 随机 扫描 。 

。 重 要 数据 定期 保存 、 备 份 。 


4. 多 层 防 御 机 制 


多 层 防 御 体系 将 病毒 检测 、 多 层 数据 保护 和 集中 式 管理 集成 起 来 ,提供 全 面 的 病毒 
防护 能 力 ,从 而 达到 “治疗 ”病毒 的 效果 。 病 毒 检测 一 直 是 病毒 防护 的 支柱 ,多 层次 防御 
软件 使 用 了 3 层 保护 功能 ,实时 扫描 ,完整 性 保护 和 完整 性 检验 。 

后 台 实时 扫描 驱动 器 能 对 未 知 的 异形 病毒 和 秘密 病毒 进行 连续 的 检测 。 

完整 性 保护 可 阻止 病毒 从 一 个 感染 的 工作 站 扩散 到 服务 器 ,还 可 以 防止 与 未 知 的 
病毒 感染 有 关 的 文件 崩溃 。 

完整 性 检验 无 需 宛 余 的 扫描 而 提高 实时 检验 的 性 能 。 


5. 在 网 关 .服务 器 上 防御 措施 


防范 手段 应 集中 在 网 络 整体 上 ,在 个 人 计算 机 的 硬件 和 软件 .LAN 服务 器 、 服 务 器 
上 的 网 关 Internet 及 Internet 的 网 站 上 ,应 层 层 设防 ,对 每 种 病毒 都 实行 隔离 .过 滤 。 


人 3 网 络 病 毒 的 珍 岂 与 防治 


1231 网 络 病毒 的 特征 


网 络 病 毒 是 一 种 新 型 病毒 , 它 的 传播 媒介 不 再 是 移动 式 载体 ,而 是 网 络 通道 ,这 种 病 
毒 的 传染 能 力 更 强 , 破 坏 力 更 大 。 有 调查 显示 ,通过 电子 邮件 和 网 络 进行 病毒 传播 的 比 
例 正 逐步 攀升 ,给 人 们 的 工作 和 生活 带 来 了 很 多 麻烦 。 因 此 有 必要 了 解 网 络 病毒 的 知识 
及 特点 ,并 对 其 采取 相应 的 措施 ,以 减少 被 网 络 病毒 感染 的 侵袭 和 破坏 。 


1. 网 络 病毒 的 传播 方式 


网 络 病毒 一 般 会 试图 通过 以 下 4 种 不 同 的 方式 进行 传播 。 

1) 邮件 附件 

病毒 经 常会 附 在 邮件 的 附件 里 ,起 一 个 吸引 人 的 名 字 , 诱 惑 人 们 去 打开 附件 ,一 旦 人 
们 打开 附件 ,计算 机 就 会 感染 上 其 中 所 附带 的 病毒 。 
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2) E-mail 

有 些 蠕虫 病毒 会 利用 Microsoft Security Bulletin 的 安全 漏洞 将 自身 藏 在 邮件 中 ,并 
向 其 他 用 户 发 送 一 个 病毒 副本 进行 传播 。 正 如 在 公告 中 所 描述 的 那样 ,该 漏洞 存在 于 
Internet Explorer 之 中 ,可 以 通过 E-mail 的 附件 来 传染 病毒 ,用 户 只 要 打开 邮件 就 会 使 
计算 机 感染 上 病毒 ,并 不 需要 打开 邮件 附件 。 

3) Web 服务 器 

有 些 网 络 病毒 攻击 IIS 4.0 和 5.0 Web 服务 器 。 以 “ 尼 姆 达 ” 病 毒 为 例 , 主 要 通过 两 
种 手段 进行 攻击 。 第 一 , 它 检查 计算 机 是 否 已 经 被 “红色 代码 下 "病毒 所 破坏 ,因为 红色 
代码 下 病毒 会 创建 一 个 “后 门 ”任何 恶意 用 户 都 可 以 利用 这 个 “后 门 获 得 对 系统 的 控制 
权 。 如 果 “ 尼 姆 达 ” 病 毒 发 现 了 具有 这 种 “后 门 ” 的 计算 机 后 ,就 会 利用 “红色 代码 ”病毒 
留 下 的 后 门 来 感染 计算 机 。 第 二 ,病毒 会 试图 利用 “Web Server Folder Traversal” 漏 洞 
来 感染 机 器 。 

4) 文件 共享 

还 有 一 种 病毒 的 传播 手段 是 通过 文件 共享 来 进行 的 。Windows 系统 可 以 被 配置 
成 允许 其 他 用 户 读 写 系统 中 的 文件 ,之 后 允许 所 有 人 访问 系统 中 的 文件 。 如 果 病 毒 发 
现 系统 被 配置 为 其 他 用 户 有 创建 文件 的 权限 时 ,将 会 在 该 系统 中 添加 文件 来 传播 


2. 网 络 病毒 的 特点 


1) 感染 速度 快 

在 单机 环境 下 ,病毒 只 能 通过 软盘 从 一 台 计 算 机 带 到 另 一 台 , 而 在 网 络 中 则 可 以 通 
过 网 络 通信 机 制 迅速 扩散 。 根 据 测定 ,对 于 一 个 局 域 网 络 在 正常 情况 下 ,只 要 有 一 台 工 
作 站 有 病毒 ,就 可 在 几 十 分 钟 内 将 网 上 的 数 百 台 甚 至 上 千 台 计算 机 全 部 感染 。 

2) 扩散 面 广 

由 于 病毒 在 网 络 中 扩散 非常 快 , 扩 散 范围 很 广 ,不 但 能 迅速 传染 局 域 网 内 所 有 计算 
机 ,还 能 通过 远程 工作 站 将 病毒 在 一 瞬间 传播 到 千里 之 外 。 

3) 传播 的 形式 复杂 多 样 

计算 机 病毒 在 网 络 上 一 般 是 通过 “工作 站 /服务 器 /工作 站 ”的 途径 进行 传播 的 ,但 传 
播 的 形式 复杂 多 样 。 

4) 通过 工作 站 传染 

病毒 先 传染 工作 站 ,在 工作 站 内 存 驻 留 , 当 已 感染 病毒 的 工作 站 连 入 网 络 时 再 传染 
给 服务 器 。 

5) 通过 服务 器 感染 

如 果 远 程 工作 站 被 病毒 侵入 ,病毒 也 可 以 通过 数据 交换 进入 网 络 服务 器 中 ,一 旦 病 
毒 进入 文件 服务 器 ,就 可 通过 它 迅 速 传染 到 整个 网 络 的 每 一 个 计算 机 上 。 而 对 于 无 盘 工 
作 站 来 说 ,由 于 其 并 非 真 的 “无 盘 ”( 它 的 盘 是 网 络 盘 ) , 当 其 运行 网 络 盘 上 的 一 个 带 毒 程 
序 时 , 便 将 内 存 中 的 病毒 传染 给 该 程序 或 通过 映像 路 径 传染 到 服务 器 的 其 他 文件 上 , 因 
此 无 盘 工 作 站 也 是 病毒 合生 的 温床 。 
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6) 难以 彻底 清除 

单机 上 的 计算 机 病毒 有 时 可 通过 删除 带 毒 文件 或 低级 格式 化 硬盘 等 措施 将 病毒 彻 
底 清除 ,而 网 络 中 只 要 有 一 台 工 作 站 未 能 消毒 干净 就 可 使 整个 网 络 重新 被 病毒 感染 ,其 
至 刚刚 完成 清除 工作 的 一 台 工 作 站 就 有 可 能 被 网 上 另 一 台 带 毒 工作 站 所 感染 。 因 此 , 仅 
对 工作 站 进行 病毒 清除 ,并 不 能 解决 病毒 对 网 络 的 危害 。 

7) 破坏 性 大 

网 络 上 病毒 将 直接 影响 网 络 的 工作 , 轻 则 降低 速度 ,影响 工作 效率 , 重 则 使 网 络 崩 
溃 , 破 坏 服 务 器 信息 ,使 多 年 工作 毁 于 一 旦 。 

8) 可 激发 性 

网 络 病毒 激发 的 条 件 多 样 化 ,可 以 是 内 部 时 钟 、 系 统 的 日 期 和 用 户 名 ,也 可 以 是 网 络 的 
一 次 通信 。 一 个 病毒 程序 可 以 按照 病毒 设计 者 的 要 求 , 在 某 个 工作 站 上 激发 并 发 出 攻击 。 

9) 潜在 性 

网 络 一 旦 感染 了 病毒 ,即使 病毒 已 被 清除 ,其 潜在 的 危险 性 也 是 巨大 的 。 根 据 统计 ， 
病毒 在 网 络 上 被 清除 后 ,85% 的 网 络 在 30 天 内 会 被 再 次 感染 。 

例如 尼 姆 达 病 毒 ,会 搜索 本 地 网 络 的 文件 共享 ,无 论 是 文件 服务 器 还 是 终端 客户 机 ， 
一 旦 找到 , 便 安 装 一 个 隐藏 文件 (名 为 Riched20. DLL) 到 每 一 个 包含 doc 和 eml 文件 的 
目录 中 , 当 用 户 通 过 Word、 写 字 板 、Outlook 打开 doc 和 eml 文档 时 ,这 些 应 用 程序 将 执 
行 Riched20. DLL 文件 ,从 而 使 机 器 被 感染 ,同时 该 病毒 还 可 以 感染 远程 服务 器 被 启动 的 
文件 。 带 有 尼 姆 达 病 毒 的 电子 邮件 ,不 需要 打开 附件 ,只 要 阅读 或 预览 了 带 病毒 的 邮件 ， 
就 会 继续 发 送 带 毒 邮 件 给 通信 短 里 的 其 他 人 。 


人 232 网 络 病毒 的 诊断 技术 
在 防范 网 络 病毒 时 ,需要 注意 以 下 几 点 。 
1. 留心 邮件 的 附件 


对 于 邮件 附件 尽 可 能 小 心 ,安装 一 套 杀毒 软件 ,在 打开 邮件 之 前 对 附件 进行 预 扫描 。 
因为 有 的 病毒 邮件 恶毒 之 极 , 只 要 将 鼠标 移 至 邮件 上 .即使 没有 打开 它 , 也 会 自动 执行 和 
感染 。 更 不 要 打开 陌生 人 来 信 中 的 附件 文件 , 当 收 到 陌生 人 寄 来 的 一 些 自 称 是 “不 可 不 
看 ”的 附件 时 , 千 万 不 要 贸然 打开 它 , 尤 其 对 于 一 些 “. exe” 之 类 的 可 执行 程序 文件 ,更 要 
慎之 又 慎 ! 


2. 注意 文件 扩展 名 


因为 Windows 允许 用 户 在 文件 命名 时 使 用 多 个 扩展 名 ,而 许多 电子 邮件 程序 只 显 
示 第 一 个 扩展 名 ,有 时 会 造成 一 些 假象 。 所 以 可 以 在 “文件 夹 选项 ”中 ,设置 显示 文件 名 
的 扩展 名 ,这 样 一 些 有 害 文件 ,如 VBS 文件 就 会 原形 毕露 。 注 意 , 千 万 别 打开 扩展 名 为 
vbs、shs 和 pif 的 邮件 附件 ,因为 一 般 情况 下 ,这 些 扩 展 名 的 文件 几乎 不 会 在 正常 附件 中 
使 用 ,但 它们 经 常 被 病毒 和 蠕虫 使 用 。 例 如 ,看 到 的 邮件 附件 名 称 是 wow. jpg', 而 它 的 全 
名 实际 是 wow. jpg. vbs, 打 开 这 个 附件 意味 着 运行 一 个 恶意 的 VBScript 病毒 ,而 不 是 
jpg 查看 器 。 
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3. 不 要 轻易 运行 来 历 不 明 的 程序 


对 于 一 般 人 寄 来 的 程序 ,都 不 要 运行 ,就 算是 比较 熟悉 .了 解 的 朋友 们 寄 来 的 信件 ， 
如 果 其 信 中 夹带 了 程序 附件 ,但 是 他 却 没有 在 信 中 提 及 或 是 说 明 , 也 不 要 轻易 运行 。 
为 有 些 病 毒 是 偷偷 地 附着 上 去 的 (也 许 朋 友 的 计算 机 已 经 感染 了 病毒 ), 可 他 自己 却 不 知 
道 。 比 如 happy 99 就 是 这 样 的 病毒 , 它 会 自我 复制 ,跟着 用 户 的 邮件 走 。 当 收 到 邮件 广 
告 或 者 主动 提供 的 电子 邮件 时 ,也 不 要 打开 附件 以 及 它 提供 的 链接 。 


4. 不 要 盲目 转发 信件 

收 到 自 认 为 有 趣 的 邮件 时 ,不 要 盲目 转发 ,因为 这 样 会 帮助 病毒 传播 ;给 别人 发 送 程 
序 文件 甚至 包括 电子 贺卡 时 ,一 定 要 先 在 自己 的 计算 机 中 试 试 ,确认 没有 问题 后 再 发 ,以 
免 好 心 办 了 坏事 。 

5. 堵 住 系统 漏洞 

现在 很 多 网 络 病毒 都 是 利用 了 微软 的 IE 和 Outlook 的 漏洞 进行 传播 的 ,因此 需要 
特别 注意 微软 网 站 提供 的 补丁 ,可 以 通过 下 载 和 安装 补丁 文件 或 安装 软件 的 升级 版 本 来 


消除 和 阻止 很 多 网 络 病毒 。 同 时 ,及 时 给 系统 打 补 丁 也 是 一 个 良好 的 习惯 ,可 以 让 用 户 
的 系统 时 时 处 于 最 新 、 最 安全 的 状态 。 要 注意 应 该 从 信任 度 高 的 网 站 下 载 补丁 。 


6. 禁止 Windows Scripting Host 


对 于 通过 脚本 “工作 ”的 病毒 ,可 以 采用 在 浏览 器 中 禁止 Java 或 ActiveX 运行 的 方法 
来 阻止 病毒 的 改作。 禁用 Windows Scripting Host。Windows Scripting Host (WSH) 
运行 各 种 类 型 的 文本 ,但 基本 都 是 VBScript 或 J]Script。 许 多 病毒 和 蠕虫 ,如 Bubbleboy 
和 KAK. worm 使 用 Windows Scripting Host, 无 须 用 户 单 击 附件 ,就 可 自动 打开 一 个 被 
感染 的 附件 ,同时 应 该 把 浏览 器 的 隐私 设置 设 为 “高 ”。 


7. 不 要 随便 接收 附件 


尽量 不 要 从 在 线 聊 天 系统 的 陌生 人 那里 接收 附件 ,比如 ICQ 或 QQ 中 传 来 的 东西 。 
有 些 人 通过 在 QQ 聊天 中 取得 对 用 户 的 信任 之 后 ,给 用 户 发 一 些 附 有 病毒 的 文件 ,所 以 
对 附件 中 的 文件 不 要 打开 , 先 保存 在 特定 目录 中 ,然后 用 杀毒 软件 进行 检查 ,确认 无 病毒 
后 再 打开 。 


8. 从 正规 网 站 下 载 软件 


不 要 从 任何 不 可 靠 的 渠道 下 载 任何 软件 .因为 通常 无 法 判断 什么 是 不 可 靠 的 渠道 ， 
所 以 比较 保险 的 办 法 是 对 安全 下 载 的 软件 在 安装 前 先 做 病毒 扫描 。 


9. 多 做 自动 病毒 检查 
用 户 应 确保 自己 的 计算 机 对 插入 的 软盘 .光盘 和 其 他 的 可 插 拔 介质 ,以 及 对 电子 邮 
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件 和 互联 网 文件 都 会 做 自动 的 病毒 检查 。 
10. 使 用 最 新 杀毒 软件 


要 养 成 用 最 新 杀毒 软件 及 时 查 毒 的 好 习惯 。 但 是 千 万 不 要 以 为 安装 了 杀毒 软件 就 
可 以 高 枕 无 忧 了 ,一 定 要 及 时 更 新 病毒 库 , 否 则 杀毒 软件 就 会 形同虚设 ;另外 ,要 正确 设 
置 杀毒 软件 的 各 项 功能 ,充分 发 挥 它 的 功效 。 


1233 局 域 网 病毒 的 防范 技术 


计算 机 病毒 在 网 络 中 泛滥 已 久 ,而 且 在 局 域 网 中 也 能 快速 繁殖 ,导致 局 域 网 计算 机 
的 相互 感染 ,下 面 介 绍 有 关 局 域 网 病毒 的 防范 技术 。 

个 人 用 户 感染 病毒 后 ,使 用 单机 版 杀毒 软件 即 可 清除 ,然而 企业 的 网 络 中 ,一 台 机 器 
一 旦 感染 * 尼 姆 达 ” 病 毒 ,病毒 便 会 自动 复制 ,发 送 并 采用 各 种 手段 不 停 交 叉 感 染 局 域 网 
内 的 其 他 用 户 。 

计算 机 病毒 形式 及 传播 途径 日 趋 多 样 化 ,因此 ,大 型 局 域 网 络 系统 的 防 病毒 工作 已 
不 再 像 单 台 计算 机 病毒 的 检测 及 清除 那样 简单 ,需要 建立 多 层次 的 ,立体 的 病毒 防护 体 
系 ,而 且 要 具备 完善 的 管理 系统 来 设置 和 维护 对 病毒 的 防护 策略 。 

一 个 网 络 的 防 病毒 体系 是 建立 在 每 个 局 域 网 的 防 病毒 系统 上 的 ,应 该 根据 每 个 局 域 
网 的 防 病毒 要 求 ,建立 局 域 网 防 病毒 控制 系统 ,分 别 设置 有 针对 性 的 防 病毒 策略 。 


1. 增加 安全 意识 


杜绝 病毒 ,主观 能 动 性 起 到 很 重要 的 作用 。 要 从 加 强 安全 意识 着 手 , 对 日 常 工 作 中 
隐藏 的 病毒 危害 增加 警觉 性 ,如 安装 一 种 大 众 认 可 的 网 络 版 杀毒 软件 ,定时 更 新 病毒 版 
本 ,对 来 历 不 明 的 文件 运行 前 进行 查 杀 ,每 周 查 杀 一 次 病毒 ,减少 共享 文件 夹 的 数量 , 文 
件 共 享 的 时 候 尽 量 控 制 权 限 和 增加 密码 等 ,都 可 以 很 好 地 防止 病毒 在 网 络 中 的 传播 。 


2. 小 心 邮件 


随 着 网 络 的 普及 ,电子 信箱 成 了 人 们 工作 中 不 可 缺少 的 媒介 。 它 方便 快捷 ,在 提高 
了 人 们 的 工作 效率 的 同时 ,也 无 意 之 中 成 为 了 病毒 的 帮凶 。 有 数据 显示 ,如 今 有 超过 一 
半 以 上 的 病毒 通过 邮件 进行 传播 。 

尽管 这 些 病毒 的 传播 原理 很 简单 ,但 由 于 人 们 的 粗心 和 不 重视 ,致使 这 类 病毒 传染 
得 很 快 很 广 。 例如, 若 所 有 的 Windows 用 户 都 关闭 了 VB 脚本 功能 , 像 “ 库 尔 尼 科 娃 ”这 
样 的 病毒 就 不 可 能 传播 。 只 要 用 户 随 时 小 心 警惕 ,不 要 打开 值得 怀疑 的 邮件 和 邮件 附 
件 , 就 可 把 病毒 拒绝 在 外 。 


3. 挑选 网 络 版 杀毒 软件 


选择 一 个 功力 高 深 的 网 络 版 病毒 “杀手 ”是 至 关 重 要 的 。 一 般 而 言 , 查 杀 是 否 彻底 ， 
界面 是 否 友好 、 方 便 , 能 否 实现 远程 控制 .集中 管理 是 决定 一 个 网 络 杀 毒 软件 的 三 大 
要 素 。 
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人 4 席 用 病毒 防护 软件 的 使 用 技术 


目前 ,计算 机 病毒 防护 软件 很 多 ,如 金山 毒霸 、. 江 民 杀 毒 软件 .瑞星 反 病 毒 软件 .光华 
反 病 毒 软件 及 诺顿 (Norton AntiVirus) 防 病毒 软件 等 。 由 于 篇 幅 所 限 ,本 书 只 对 “金山 毒 
霸 ”" 和 “Norton AntiVirus 防 病毒 软件 ”进行 介绍 。 


1241 金山 毒霸 


1. 金山 毒霸 简介 


本 小 节 以 最 新 版 本 “金山 毒霸 2007" 为 蓝本 ,介绍 金山 毒霸 软件 的 查 毒 .杀毒 和 防毒 
技术 。 

金山 毒霸 2007 是 一 款 功能 强大 ,方便 易 用 的 个 人 及 家 庭 首选 反 病毒 产品 ,包括 金山 
毒 条 ,金山 网 镖 ,. 金 山 反 间 谍 和 金山 漏洞 修复 4 个 组 件 。 它 能 保护 用 户 的 计算 机 免 受 病 
毒 .黑客 ,垃圾 邮件 .木马 和 间谍 软件 的 攻击 。 金 山 毒 霸 2007 发 布 了 金山 毒霸 脱党 引擎 
模块 ,大 幅度 增强 对 党 的 支持 , 即 大 幅度 地 改善 了 金山 毒霸 对 已 知 病毒 加 这 后 的 查 杀 


能 力 。 

金山 毒霸 2007 具有 下 述 特点 。 

1) 两 大 领先 技术 

。 数据 流 杀 毒 技 术 。 基 于 传统 的 静态 磁盘 文件 和 狭义 匹配 技术 ,更 进一步 从 网 络 和 
数据 流入 手 , 极 大 地 提高 了 查 杀 木 马 及 其 变种 的 能 力 。 

。 主动 实时 升级 技术 。 当 有 最 新 的 病毒 库 或 者 功能 出 现时 ,只 要 用 户 处 于 上 网 状 
态 ,无 需 做 任何 操作 ,毒霸 可 自动 下 载 更 新 版 本 并 自动 进行 安装 ,防止 被 新 病毒 感 
染 和 破坏 。 

2) 三 大 核心 引擎 

。 反 上 间谍 。 可 将 驻 留 于 内 存 及 硬盘 中 的 间谍 软件 和 木马 程序 彻底 清除 ,保护 用 户 的 
系统 安全 。 

。 反 钓 鱼 。 防 止 钓鱼 网 站 .钓鱼 邮件 的 攻击 。 用 户 访问 钓鱼 网 站 时 金山 毒霸 会 自动 
拦截 ,防止 用 户 的 账号 密码 等 重要 信息 被 盗 。 

。 主动 漏洞 修复 。 可 扫描 操作 系统 及 各 种 应 用 软件 的 漏洞 , 当 新 的 安全 漏洞 出 现时 
金山 毒霸 2007 会 下 载 漏洞 信息 和 补丁 程序 ,经 扫描 程序 检查 后 自动 帮助 用 户 进 
行 修补 。 

3) 四 大 利器 


迅速 抢先 。 一 旦 木马 或 间谍 软件 试图 通过 邮件 盗 取 银行 账号 、 信 用 卡号 和 网 游 账 
号 时 ,系统 会 自动 报警 并 提示 用 户 , 防 止 数 据 被 泄密 。 并 能 自动 清理 用 户 在 计算 
机 中 留 下 的 使 用 记录 。 

抢先 加 载 。 防 毒 胜 于 杀毒 ,抢先 启动 的 防毒 系统 可 保障 在 Windows 未 完全 启动 
时 就 开始 保护 用 户 的 计算 机 系统 , 早 于 绝 大 多 数 开机 自 运行 的 病毒 程序 ,使 用 户 
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的 计算 机 避免 “ 带 毒 杀毒 ”的 危险 。 抢 先 式 防毒 让 计算 机 的 安全 也 抢先 了 一 步 。 
。 文件 粉碎 。“ 文 件 粉碎 器 ?把 用 户 要 销毁 的 文件 彻底 删除 。 
。 应 急 U 盘 。 支 持 创建 应 急 杀 毒 U 盘 , 在 Windows 系统 不 能 正常 启动 的 情况 下 ， 
可 以 用 应 急 U 盘 启 动 系统 ,自动 查 杀 病毒 并 人 恢复 系统 。 
在 本 小 节 中 ,介绍 的 是 最 新 版 的 金山 系统 : 金山 毒霸 2007 版 组 合 装 。 金 山 毒霸 是 一 
个 套装 软件 , 它 包 括 了 金山 毒霸 、 金 山 反 上 间谍、 金山 网 镖 和 金山 漏洞 修复 等 4 个 组 件 ,如 
图 12-1 所 示 。 


:p05.9.7.65 


可怕 次 伯 扫 指 
7 王 降 昌 


图 12-1 金山 毒霸 2007 套装 软件 主 界面 


2.“ 人 金山 毒霸 2007" 组 件 


利用 “金山 毒霸 2007" 组 件 对 计算 机 进行 病毒 的 诊断 、 清 除 。 金 山 毒 霸 组 件 操作 窗口 
如 图 12-2 所 示 。 同 时 可 对 风险 程序 及 携带 病毒 的 文件 给 出 详细 的 报告 ,如 图 12-3 及 
图 12-4 所 示 。 


VV 空山 专 圭 2007 


图 12-2 金山 毒霸 组 件 


本 金山 毒霸 2007 


所 险 程序 处 理 
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ET 


文件 名 


图 图 


下 VslsNCScarv3 I-en\-Sear-v. 
Di Nools\t-Seur v9. 1-en\-Sear-w. 
DNtools\Setup paidme exe 

C: MIMDOS\systen2\ebaosE11. al 
C: WITHDOWS\systen32tdriversVBEGua 
C: ‘WEINDOWS\ systen32\drivers\9e140. 


风险 程序 名 


Wis32. RISEYAIE. XScan. a 1504738 R 可 以 处 理 


ie.ITSRENIE_X5can = 022592 
32 人 WAEE Qyule, a 45152 

IZ. AIAEE DaCast tr. 126915 

32. ADWAEE.BEDSeerch 5. 26624 
32, KISEYAIE. Rootki thi de « 14843 


拟态 


332. RISEYALE. RenoteSetup. eh 204500 
Wis32. ANARE ADLoad en. 225260 


Ci Moements and Settings\yangyun 
Ci \oements and Settings\yangyun 


因 因 民 因 因 ®]| 
区 区 区区 区 区 区 区 


图 12-3 风险 程序 报告 


记录 信息 

您 比 次 查 误 共 碍 出 0 个 . 
金山 毒 看 主 程 床 启动 
Di\ezel lon one 
Di:\erelbak\er exe 
Di Vyel lindexbE. hial 
D:\ayfile\ps windor 
Di\Prog en Files\Te 
Di\tools\erack 1221, 
Di\tools\ps windows. 
DVtoole\y-Sni Ef\e 
Di\tools\-SnifE 天 
Ci\Doements and Se 
Ci\Docments and Se 
CMTNDOTS\systen32. 
CMTNDOYS\syst em. 
C:MTNDOYS\syst on. 
DMtools\Setrp naid 
Di\tools\k-Seanrva. 
TS 


疯 枉 各 称 
2008-10-08 07:41:58 
2008-10-08 07:43:38 
2008-10-08 08:15:07 
2008-10-08 08:15:11 
2006-10-06 00:25:04 
2008-10-08 08:25:25 
2008-10-08 08:35:13 
2008-10-08 08:37:14 
2008-10-08 08:37:46 
2008-10-08 08.38:34 
2008-10-08 08:35:34 
2000-10-06 00.43:27 
2008-10-08 08:43:27 
2008-10-08 08:43:27 
2008-10-08 08:43:27 
2008-10-08 08:45:27 
2008-10-08 08:43-27 
2008-10-08 08:43:27 


Winae, Xorde 2048 
Mina2. Xorde 2048 

ws 

人 ina Hack ZnalL 27648 

Yorn gasdlyiun b 30408 
Tin3e Troj.Agert e. 44113 
in3t Hack ZrelL 27648 
inae Hack weniff 45058 
Winae Hack xsnifE 45158 
inae ADARKE. ATLoad e. 
Win3e. RISEYARE, Renote 
Win3e. RISEIAEE Rootki 

Winae, ADNARE. BISear ch. 
MWinae, ADNARE. DnCast t. 
Winae, ADARE Qyule a 

Win3e. RISEYARE XScan 
ide ETSRYAEE Yocan 


图 12-4 ”携带 病毒 文件 及 风险 文件 报告 


3.“ 金 山 反 间谍 2007" 组 件 


利用 “金山 反 间 谍 2007? 组 件 可 以 对 计算 机 进行 扫描 :用 以 发 现 本 机 是 否 受到 非法 用 
户 或 非法 进程 的 攻击 。 金 山 反 间谍 组 件 操作 窗口 如 图 12-5 所 示 。 


4.“ 人 金山 网 镖 2007" 组 件 


利用 “金山 网 镖 2007" 组 件 ,可 对 本 机 或 网 络 进行 实时 监控 ,对 非法 进程 和 可 疑 进程 
进行 拦截 。 金 山 网 镖 组 件 操作 窗口 如 图 12-6 所 示 。 
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电 室 中 反 辣 计 2007 


图 12-5 金山 反 间 谍 组 件 


又 宇 山 网 标 2007 


x 多 的 计算 机 外 于 局 大 网 
0 着 望 了 解 更 去 计算 机 安生 解 岂 二 案 ， 欢 迎 这 问 过 而 信息 ”于 上 中 芋 空 全 三 别 
ee 从 的 计算 机 外 于 也 联网 : 


0 和 RN Ie y 


保护 之 下 | 


木马 防火 培 状 疙 : 已 启动 


木马 库 版 本 :2008 09 08 10 
活动 程序 : 国 贺 加 
接收 字 节 : [59.01 
FP: IC 296 


四 PR 本:T6019 
图 12-6 金山 网 镖 组 件 
金山 网 镖 启动 后 ,自动 对 计算 机 进行 实时 监控 ,对 试图 访问 本 机 及 时 性 局 域 网 络 的 
可 疑 进程 进行 拦截 ,并 给 出 提示 对 话 框 ,如 图 12-7 所 示 。 
管理 员 或 操作 员 可 根据 实际 情况 对 所 拦截 的 进程 放行 或 阻止 。 在 图 12-7 中 , 单 击 


“允许 ?按钮 , 则 允许 该 进程 访问 本 机 及 网 络 , 若 单 击 * 禁 止 "按钮 , 则 阻止 该 进程 对 本 机 或 
网 络 的 访问 。 


5.“ 金 山 漏洞 修复 2007" 组 件 


“金山 漏洞 修复 2007" 组 件 用 以 扫描 本 机 或 局 域 网 络 存在 的 安全 漏洞 ,对 本 机 上 存在 
的 安全 漏洞 可 自动 进行 修复 。 金 山 漏洞 修复 组 件 操作 窗口 如 图 12-8 所 示 。 
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| | 


| 是 否 允 许 ypersnap 访问 网 络 ? 


Files\yperSnap\iprSnap6 exe 


| 苞 以 后 和 代办 本 次 换 作 浊 生 


(A 全 山 网 标 2007 


图 12-7 金山 网 镖 对 访问 进程 的 拦截 


五 全 册 沉 洞 个 夏 2007 
所作 (P) 工具 (D 灾 欠 (H) 


我 的 电脑 
和 2 曾 388RRmJieEDR 人 加 ,并 3 人 和 
软件 安全 更 新 
扫 藻 系 里 中 是 否 及 时 安装 了 最 新 的 安全 更 新 


共享 管理 
区 扫兴 系 纺 的 共 吾 设 置 是 存在 安全 隐患 


帐户 管理 
铺 扫 苦 系 妃 的 帐户 管理 设置 是 否 存在 安全 隐患 


图 12-8 金山 漏洞 修复 组 件 


1242 Norton AniVrus 防 病毒 软件 


1. Norton AntiVirus 软件 简介 


Norton AntiVirus, 中 文 简称 诺顿 防 病毒 软件 ,是 最 受信 赖 的 防 病毒 软件 之 一 。 无 论 
是 在 网 上 冲浪 、 聊 天 、 发 送 电子 邮件 还 是 交换 文件 ,Norton AntiVirus 诺顿 防 病毒 都 可 以 
防御 大 量 的 互联 网 威胁 。 它 可 以 自动 检测 并 杀 除 病毒 .除去 计算 机 中 不 受 欢迎 的 间谍 软 
件 , 还 可 扫描 电子 邮件 和 附件 的 威胁 ,支持 自动 更 新 。 

Symantec AntiVirus Corporate (Norton AntiVirus 诺顿 杀毒 软件 企业 版 本 ) 是 世界 
上 最 优秀 的 杀毒 软件 之 一 ,软件 由 Symantec 公司 开发 ,有 企业 版 本 .专业 版 本 和 标准 版 
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本 等 ,在 这 里 介绍 的 是 Norton AntiVirus 企业 版 ,与 其 他 版 本 相 比 较 , 能 为 用 户 带 来 更 低 
的 系统 资源 占用 ,更 可 靠 的 性 能 。 在 本 小 节 中 介绍 的 是 Norton AntiVirus v9.0 版 (软件 


下 载 网 址 http: //soft. mumayi. net/downinfo/3501. html, 软 件 大 小 18. 26MB ,软件 运行 
环境 Windows 2000/XP) 。 


2. Norton AntiVirus v9.0 的 安装 


在 Norton AntiVirus v9. 0 系统 文件 夹 下 ,运行 Setup. exe 文件 开始 安装 , 当 出 现 如 
图 12-9 所 示 的 对 话 框 时 ,根据 本 机 的 情况 进行 服务 器 和 客户 端的 选择 。 若 本 机 作为 
Norton AntiVirus 服务 器 (可 以 监控 一 个 局 域 网 络 ), 则 选择 “服务 器 安装 "选项 , 若 本 机 
是 一 个 客户 端 , 则 选择 “客户 端 安 装 ”选项 。 


i Symantec AntiVirus -InstallShield 向 导 
客户 谊 服务 器 选项 te 
选择 安装 客 己 六 或 乳 务 器 配置 Sy antec. 
安装 程序 支持 以 下 安装 方案 : 


雪 记 久 - 加 且 这 合计 算术 不 按理 区 由 返 行 3ymartec AniVeus 服务 别 版 
的 各 机 管理 ， 由 过 拉 上 项 


i 4 ad Symantec AntiVrus 服务 器 并 洛 管 理 其 地 客户 


选择 所 需 的 选项 
轴 加 客户 请 安装 


号 owas 


Instalshiele 


图 12-9 客户 端 服务 器 选项 


选择 好 安装 选项 后 , 单 击 * 下 一 步 "按钮 , 即 往 下 安装 。 当 出 现 如 图 12-10 所 示 的 对 话 
框 时 ,进行 网 络 类 型 安装 选择 。 


Symantec AntiVirus ~ InstallShield 何 导 
网 络 安装 类 型 


迁 反 是 符合 央 要 的 站 安装 关 冯 。 Bs) symantec. 


安装 各 床 支持 以 下 实 装 万 案 : 


rt -加 果 这 人 台 计算 机 格 由 运行 Symantec Antivirus 服务 最 版 的 计 算 机 管理 , 则 先 


不 接 关 管理 - 加 果 六 台 计 算 机 不 会 由 运行 Symantec Anyirus 服务 区 版 的 计算 机 管理 ， 
人 地 于 hg 


图 12-10 网 络 安装 类 型 选择 
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网 络 安装 类 型 选择 完全 由 上 一 步 的 设置 所 定 ,车 在 “客户 端 服务 器 选项 "对 话 框 中 选 
择 了 “服务 器 安装 "选项 , 则 在 图 12-10 中 选择 “接受 管理 ", 否 则 选择 “不 接受 管理 ”, 再 音 
击 * 下 一 步 "按钮 。 

之 后 ,根据 屏 菩提 示 继续 安装 , 当 所 有 选择 项 选择 完毕 , 即 开始 正式 安装 ,如 图 12-11 
所 示 。 


13 Symartec Antivirus ~ InstallShield 亲本 


安装 Symantec Antivirus 
Ee Bs ) symantec. 


又 


但 请 梢 等 ，"Instalshield 向 导 正 在 安装 5ymantec Antiyrus。 这 会 占用 您 
了 分 88 间 - 


状 在 : 


[GEIL HHI HN 


图 12-11 安装 过 程 


3. Norton AntiVirus v9.0 的 使 用 


1) 软件 的 启动 
单 击 “ 开 始 ”|“ 所 有 程序 ”| Symantec Client Security-Symantec AntiVirus, 启动 
Norton AntiVirus v9.0, 如 图 12-12 所 示 。 
[er intVirus 
文件 (E) 痊 辑 (E 查看 (v) 扫 擅 (3) 配置 (G)， 历史 记录 (D 帮 有 HH) 
Symantec AntiVirus 
ET eh 
第 纲 信 息 


公 最 务 器 : 
组 : 


a 


-程序 上 本 
程 计 : 9.0.0.338 
拓 引 :4.1.0.3 


病友 定义 文件 


| | 


图 12-12 ”Norton AntiVirus v9.0 主 窗口 
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2) 扫描 本 地 计算 机 


在 图 12-12 所 示 的 主 窗口 中 ,选择 “扫描 ”| “扫描 计 算 机 ”功能 ,得 到 本 地 计算 机 扫描 
窗口 ,如 图 12-13 所 示 。 


SEC AntiVirus 


图 12-13 扫描 本 地 计算 机 


在 图 12-13 所 示 的 窗口 中 ,在 右边 “扫描 计 算 机 ?窗口 ,选择 所 需 扫描 的 磁盘 , 单 击 右 
下 角 的 “扫描 "按钮 , 即 开始 扫描 本 地 计算 机 。 
其 他 功能 的 操作 使 用 根据 屏幕 提示 即 可 。 


125 应 用 实例 


亿 51 “震荡 波 ” 病 毒 的 防范 技术 


2005 年 4 月底 , 反 病 毒 专家 们 截获 并 消灭 了 专 偷 网 上 银行 资金 的 病毒 “网 银 大 资 " 病 
毒 后 ,5 月 1 日 ,国家 计算 机 病毒 应 急 中 心 发 现 ,一 种 利用 微软 操作 系统 漏洞 的 蠕虫 病毒 
正在 对 互联 网 发 起 攻击 ,并 陆续 接 到 江苏 、 宁 夏 、 北 京 黑龙江、 辽宁 和 广东 等 地 区 用 户 报 
告 。 赁 着 与 计算 机 病毒 多 年 的 实战 经 验 , 专 家 们 认为 这 个 病毒 潜在 的 危害 巨大 ,病毒 利 
用 的 是 Windows LSASS 的 一 个 已 知 漏洞 (MS04-011) ,被 攻击 的 计算 机 会 出 现 系统 频繁 
重启 的 现象 ,与 2004 年 大 面积 爆发 的 冲击波" 病毒 危害 十 分 相似 。 

通过 对 病毒 样本 的 分 析 ,该 病毒 特性 如 下 : 

该 蠕虫 不 像 往常 的 蠕虫 那样 通过 邮件 传播 ,而 只 是 通过 系统 漏洞 传播 。 

该 蠕虫 用 来 传播 的 文件 名 称 是 avserve. exe (大 小 是 15 872B) 。 

该 蠕虫 的 传播 不 需要 人 为 的 干预 ,该 蠕虫 能 自动 在 网 络 上 搜索 含有 漏洞 的 系统 ， 
引导 这 些 有 漏洞 的 系统 下 载 病毒 文件 并 执行 。 

病毒 从 TCP 的 1068 端口 开始 搜寻 可 能 的 IP 地 址 并 试图 传播 。 

病毒 在 TCP 端口 5554 ,建立 FTP 文件 服务 器 ,该 蠕虫 能 自动 创建 FTP 脚本 文 
件 , 并 运行 该 脚本 。 该 脚本 能 自动 引导 被 感染 的 计算 机 下 载 病毒 文件 并 执行 。 
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一 套 完整 的 “震荡 波 ” 解 决 方案 分 为 3 步 , 称 为 “震荡 波 "完全 解决 3 部 曲 : 

第 1 步 , 针 对 病毒 利用 的 是 微软 操作 系统 的 已 知 漏洞 MS04-011, 解 决 的 方法 就 是 打 
上 这 个 漏洞 的 补丁 。 下 载 地 址 为 http: //www. jiangmin. comexec/news_sys/news/ 
jiangmin/index/important/2004511533255. htm。 

第 2 步 ,对 于 已 感染 该 病毒 的 用 户 , 可 用 KV2004 以 上 版 本 杀毒 。 

第 3 步 ,由 于 病毒 利用 TCP455、9995、5554 端口 ,利用 自身 的 IP 地 址 列表 ,对 特定 
IP 地 址 段 可 能 存在 的 计算 机 进行 漏洞 扫描 并 试图 传播 病毒 ,所 以 只 需 将 以 上 端口 封 住 即 
可 ,一般 用 户 可 以 使 用 Windows 2000 以 上 操作 系统 自 带 的 TCP/IP 筛选 功能 进行 封 堵 。 

对 于 没有 经 过 微软 合法 授权 的 计算 机 用 户 , 由 于 微软 不 提供 相应 的 技术 支持 ,安装 
相应 的 漏洞 补丁 程序 是 很 困难 的 。 因 此 ,解决 病毒 的 办 法 只 能 有 后 两 种 , 即 安装 杀毒 软 
件 和 封 堵 相应 的 端口 。 


1252 “ 宏 "病毒 的 防护 技术 


宏 病 毒 是 专门 攻击 Word、Excel 文档 的 病毒 ,计算 机 染 上 宏 病 毒 后 , Word 文档 可 能 
打 不 开 , 或 打开 后 是 乱码 。 该 病毒 于 1996 年 9 月 首次 登陆 我 国 ,是 一 种 传染 性 和 破坏 性 
都 很 强 的 计算 机 病毒 。 

预防 宏 病 毒 最 简单 而 有 效 的 方法 是 在 Word 2000/XP 中 进行 安全 设置 保护 , Word 
2000/XP 提供 了 防 “ 宏 病毒 "的 功能 ,方法 是 单 击 “ 工 具 ”|“ 宏 ”|“ 安 全 性 ”, 选 择 “ 高 "选项 ， 
这 样 ,当前 打开 的 文档 所 使 用 的 模板 就 有 了 防止 “自动 宏 " 执 行 的 功能 , 当 以 后 使 用 这 个 
模板 的 文档 时 ,如 打开 的 文件 带 有 “自动 宏 ", Word 2000/XP 将 首先 告诉 用 户 打开 的 文档 
带 有 自动 宏 , 并 询问 用 户 是 否 执 行 宏 , 选 择 “ 否 ”, 待 进入 并 打开 文档 后 ,再 自动 对 文档 进 
行 “ 宏 "检查 。 


1253 “ 爱 虫 病毒 的 清除 技术 


“ 爱 虫 " 病 毒 是 一 种 邮件 病毒 ,如 果 用 户 收 到 这 样 的 一 封 邮 件 , 邮 件 主题 为 "I LOVE 
YOU( 我 爱 你 )”, 邮 件 内 容 为 "Kindly check the attached I LOVELETTER coming from 
me( 请 尽快 查收 来 自我 的 邮件 附件 中 的 求爱 信 )”, 附 件 文件 名 为 "LOVE-LETTER-FOR- 
YOU. htm”。 该 封 邮件 就 是 典型 的 “ 爱 虫 " 病 毒 源 。 

如 果 用 户 出 于 好 奇 而 打开 了 该 邮件 的 附件 , 则 用 户 的 计算 机 就 会 自动 感染 “ 爱 虫 " 病 
毒 ,所 以 , 当 收 到 主题 为 "I LOVE YOU” 的 邮件 时 .请 直接 将 其 删除 , 绝 不 要 去 打开 和 阅 
读 其 附件 。 

“ 爱 虫 ”病毒 的 清除 技术 。 

如 果 用 户 的 计算 机 中 了 “ 爱 虫 "病毒 ,请 用 下 述 方法 进行 清除 。 

(1) 首先 运行 regedit. exe (在 “开始 ”| “运行 ”下 运行 ), 找 到 并 删除 键 值 HKEY_ 
CURRENT_USER\Software\ Microsoft\ Windows Script( Host)\Settings。 

(2) 在 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Mail 下 ， 
输入 一 个 正确 的 主页 地 址 。 


296 


ius ats tinat 


(3) 删除 HKEY_LOCAL_MACHINE\Software\ Microsoft\ Windows\ Current- 
Version\Run 下 的 MSKernel32 键 值 。 

(4) 将 键 值 HKEY_LOCAL_MACHINE\Software\ Microsoft\ Windows\Current- 
Version\RunService 下 的 Win32DLL 删除 ,再 到 HKEY_LOCAL _MACHINE\Software 
\Microsoft\ Windows\CurrentVersion\Run 下 ,如 果 有 WIN-BUGSFIX 键 值 , 就 删除 它 。 

(5) 找到 HKEY_CURRENT_USERA\ Software\ Microsoft \ Windows\ Current- 
Version\Ex-plorer\Doc Find Spec MRU。 在 这 个 条 目 包 含 所 有 最 近 使 用 过 的 文件 ,一 般 
可 以 删除 。 

(6) 删除 c:\windows\system 或 c:\windows\system32 目录 下 MSKernel32. vbs、 
LOVE-LE-TTER-FOR-YOU. HTM 和 LOVE-LETTER-FOR-YOU. TXT. vbs 三 个 文 
件 。 同 时 删除 Windows 目录 下 的 Win32DLL. vbs 文件 。 

“ 爱 虫 "病毒 侵袭 的 文件 类 型 有 vbs、vbe、js、jse、css、wsh、sct、hta、jpg 以 及 jpeg。 这 
些 文件 被 感染 后 ,有 可 能 不 能 恢复 ,不 得 不 删除 它 。 注 意 ,要 删除 所 有 硬盘 和 所 有 网 络 驱 
动 器 上 的 有 关 文 件 。 

最 后 查找 WIN-BUGSFIX.exe 或 WIN_BUGSFIX-32. exe 以 及 script. ini, 还 有 可 能 
是 winfat32. exe, 这 些 文件 都 是 可 能 存在 的 ,如 果 这 些 文件 存在 就 将 其 删除 。 

注意 ,上 述 文件 删除 后 ,还 要 将 回收 站 清空 。 


习 要 人 2 


. 什么 是 计算 机 病毒 ? 

. 计算 机 病毒 的 主要 特征 是 什么 ? 

. 计算 机 病毒 的 作用 机 理 是 什么 ? 

. 计算 机 病毒 的 诊断 技术 有 哪些 ? 

. 计算 机 病毒 的 多 层 防御 体系 是 什么 ? 
. 网 络 病毒 的 传播 方式 有 哪儿 种 ? 

. 金山 毒霸 2007 由 哪些 组 件 组 成 ? 


本 
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“病毒 "和 “黑客 "已 成 为 现代 网 络 的 两 大 “杀手 ”人 们 已 从 过 去 的 谈 “ 毒 " 色 变 转变 为 
谈 “ 黑 " 色 变 , 因 此 ,研究 黑客 防范 黑客 对 网 络 的 威胁 和 攻击 ,是 当今 网 络 安全 的 重要 研 
究 内 容 。 

本 章 的 目的 是 让 读者 了 解 黑客 ,以 帮助 读者 识别 黑客 ,预防 黑客 ,而 不 是 教 读者 怎样 
当 黑 客 , 更 不 是 教 读 者 怎样 去 攻击 别人 的 计算 机 或 网 站 。 


131 黑客 的 基本 概念 


1311 黑客 是 什么 


随 着 计算 机 网 络 的 普及 和 发 展 ,黑客 "与 “入 侵 者 ”这 两 个 名 词 也 越 来 越 引起 世人 的 
关注 。 
1. 黑客 与 入 侵 者 


“黑客 "在 英文 里 是 hacker, 其 原意 指 的 是 对 于 任何 计算 机 操作 系统 的 奥秘 都 有 强烈 
兴趣 的 人 .“ 黑 客 " 大 都 是 高 级 程序 员 , 他 们 具有 深厚 操作 系统 和 编程 方面 的 知识 ,精通 
计算 机 硬件 结构 及 软件 的 内 核 结构 ,熟悉 计算 机 软件 硬件 系统 中 的 漏洞 及 其 原因 所 在 ， 
并 在 网 络 结构 及 其 原理 方面 有 着 很 深 的 造 话 。 他 们 不 断 追 求 更 深 的 知识 ,并 向 世人 展示 
他 们 的 发 现 , 与 他 人 分 享 ,没有 破坏 数据 的 企图 。 这 是 人 们 早期 对 “黑客 "的 认识 与 定义 。 
可 以 说 ,真正 的 “黑客 "是 计算 机 和 网 络 的 “天 才 ”。 

与 “黑客 "相对 立 的 是 * 入 侵 者 ",“ 入 侵 者 ”在 英文 里 是 cracker, 指 的 是 怀 有 不 良 企 图 、 
非法 闻 入 其 至 破坏 远程 计算 机 完整 性 的 人 。“ 入 侵 者 ”利用 获得 的 非法 访问 权 , 破 坏 重 要 
数据 ,拒绝 合法 用 户 服务 请 求 ,或 为 了 自己 的 个 人 目的 而 制造 麻烦 。 硬 币 有 正 反 两 面 , 黑 
客 也 有 好 坏 之 分 。 有 协助 人 们 研究 系统 安全 和 网 络 安全 的 “正面 黑客 ”, 还 有 为 捍卫 国家 
尊严 ,维护 民族 利益 的 “黑客 ”, 比 如 “ 红 客 联盟 ”。 但 也 有 不 少 专 门 窒 探 他 人 隐私 ,非法 自 
改 和 破坏 他 人 的 程序 和 数据 的 “反面 黑客 ”。 现 在 ,在 人 们 眼中 ,“ 黑 客 "已 成 为 “网 络 上 的 
乱 分 子 ” 和 “网 络 犯罪 分 子 ”的 代名词 ,很 大 程度 是 因为 这 些 人 总 是 用 “黑客 ”自我 命名 和 
自我 辩护 。 
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现在 ,有 许多 人 经 常 把 “黑客 ”与 “入 侵 者 ”混淆 。 多 年 来 ,人 们 误 用 “黑客 ”这 个 名 词 
来 表达 "入 侵 者 ”的 意思 。 其 实 , 他 们 之 间 有 着 本 质 的 不 同 。 

今天 “黑客 "一 词 已 被 用 于 泛 指 那些 专门 利用 计算 机 搞 破 坏 或 恶作剧 的 家 伙 。 对 这 
些 人 的 正确 英文 叫 法 应 是 Cracker, 有 人 翻译 成 “ 骇 客 "。 黑 客 和 骇 客 根本 的 区 别 是 ,黑客 
是 网 络 的 建设 者 ,而 骇 客 是 网 络 的 破坏 者 。 

为 了 与 人 们 的 习惯 称呼 保持 一 致 ,在 本 章 后 面 所 讨论 的 “黑客 ” 泛 指 Cracker( 入 侵 
者 ) 。 


2. 黑客 的 分 类 


1) 好 奇 型 

许多 少年 黑客 往往 是 这 方面 的 代表 ,他 们 年 龄 不 大 ,社会 经 验 少 ,思想 性 格 还 不 是 很 
成 熟 , 缺 乏 社 会 约束 力 ,在 充分 自由 的 网 络 环境 中 无 法 辨别 自己 行为 的 正确 性 , 凭 一 时 的 
兴趣 、 好 奇 潜入 一 些 不 该 进入 的 网 站 ,甚至 获取 了 高 度 机 密 的 资料 ,更 有 甚 者 对 网 站 或 网 
络 造 成 破坏 ,而 他 们 的 内 心 ,实际 上 却 是 非常 的 单纯 ,不 是 好 奇 就 是 好 玩 而 已 。 

2) 功利 型 

往往 是 指 那 些 想 在 网 络 上 一 举 成 名 者 ,他 们 专门 选择 一 些 比较 著名 的 网 站 进行 攻 
击 , 制 造 混乱 , 唯 丽 天 下 不 乱 , 以 便 自己 “乱世 出 英雄 ”, 名 扬 天 下 。 对 于 功利 型 黑客 可 以 
区 分 为 求 名 与 求 利 两 种 , 求 利 又 可 分 为 利 已 与 利 人 两 种 。 前 一 种 为 了 自己 的 某 种 利益 ， 
比如 盗 取 银 行 账号 与 密码 ,窃取 不 义 之 财 ; 后 一 种 为 某 种 利益 , 受 他 人 指使 ,或 为 某 种 政 
治 目的 对 别 的 网 站 进行 攻击 。 

3) 仇恨 型 

这 类 人 往往 处 于 嫉妒 心理 或 是 因 某 网 站 对 自己 的 利益 造成 某 种 损害 或 威胁 而 采取 
的 攻击 行动 ,造成 别 的 网 站 无 法 访问 或 瘫痪 。 

4) 恶作剧 型 

或 许 幽 默 是 人 的 天 性 ,这 类 黑客 的 数量 也 许 是 最 多 的 ,也 是 最 常见 的 。 这 种 网 络 黑 
客 喜爱 进入 他 人 的 计算 机 和 网 站 中 ,或 增加 一 些 内 容 , 如 加 入 一 则 笑话 以 娱乐 人 或 自 娱 ; 
或 者 进入 他 人 网 址 ,将 他 人 主页 上 的 资料 \ 信 息 做 些 更 改 ,如 1996 年 8 月 17 日 ,为 了 抗议 
“正派 通信 法 案 ”( 这 一 法 案 禁 止 在 因特网 上 传播 黄色 图 片 和 文字 ) ,一 些 黑客 破坏 了 美国 
司法 部 的 网 页 ,把 司法 部 长 的 照片 换 成 了 希特勒 ,并 放 上 了 2 张 极为 淫秽 的 黄色 照片 , 写 
上 了 许多 抗议 美国 政府 压制 言论 自由 的 口号 。 

5) 制造 矛盾 型 

这 种 网 络 黑客 进入 他 人 网 站 后 ,或 修改 他 人 的 电子 函件 ,或 修改 他 人 的 商业 合同 ,或 
修改 生产 厂家 的 商品 生产 日 期 .或 修改 他 人 的 订货 数量 、 品 种 ,从 而 使 他 人 产生 各 种 各 样 
的 矛盾 或 纠纷 。 甚 至 于 还 有 些 网 络 黑客 破坏 他 人 的 商业 交易 ,并 借 此 机 会 了 解 双方 商谈 
之 协议 价格 ,从 而 趁机 渔 利 。 

6) 杀手 型 

这 种 网 络 黑客 就 一 点 也 不 客气 了 。 他 们 非法 进入 他 人 网 站 后 ,或 者 将 他 人 的 重要 文 
件 .资料 全 部 删除 ,或 者 涂改 .删除 他 人 的 重要 电子 函件 (如 商品 订货 单 ) ,或 者 将 病毒 载 
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人 他 人 网 络 网 站 中 ,使 其 网 络 无 法 正常 运行 。 他 们 每 到 一 处 ,都 搞 得 鸡犬不宁 ,引起 一 场 
灾难 。 

7) 政治 型 

由 于 某 种 政治 利益 的 需要 ,一 些 国家 和 政府 利用 黑客 侵入 他 人 的 网 络 , 窃 取 国家 和 
军事 机 密 信息 。 


1312 国内 黑客 的 发 展 历史 


因特网 在 中 国 的 迅速 发 展 也 使 国内 的 黑客 逐渐 成 长 起 来 。 纵 观 中 国 黑客 发 展 史 , 可 
以 分 为 3 个 阶段 。 


1. 第 1 阶段 ,中 国 黑客 的 起 源 (1994 一 1996 年 ) 


20 世纪 90 年 代 初 ,中 国 互联 网 处 于 刚刚 开始 发 展 的 胺 腕 时 期 ,也 就 是 在 这 一 年 ,中 
国 互联 网 的 大 门 终于 面向 公众 开放 了 。 但 是 在 那个 年 代 , 计 算 机 还 是 一 件 非常 奢侈 的 电 
子 用 品 , 而 互联 网 对 于 大 众 来 说 更 是 一 个 陌生 的 名 词 , 人 们 只 有 在 专业 性 极 强 的 书刊 中 
能 够 找到 与 网 络 相 关 的 名 词 , 而 上 网 的 群体 也 多 数 是 科研 人 员 和 知识 分 子 。 各 地 计算 机 
发 烧 友 最 大 的 乐趣 就 是 COPY 那些 小 游戏 和 DOS 等 软件 类 产品 ,盗版 对 人 们 来 说 还 是 
一 个 陌生 的 名 词 , 对 于 广大 计算 机 用 户 来 说 ,COPY 就 是 正版 的 一 种 传播 方式 。 于 是 ,最 
早 的 黑客 或 者 说 “ 窃 客 "诞生 了 。 那 个 时 候 , 一 个 全 新 的 小 软件 就 几乎 是 计算 机 的 全 部 生 
命 与 理解 ,而 对 于 这 些 窃 客 来 说 能 够 COPY 到 国外 的 最 新 产品 是 他 们 最 大 的 荣幸 , 那 一 
张 张 的 小 软盘 中 承载 了 中 国 黑 客 最 初 的 梦想 。 

在 那个 中 国 网 络 最 为 胖 腕 的 岁月 里 ,大 多 数 玩 家 操作 着 比 9600b/s 还 小 的 锥 猫 , 在 
最 为 原始 的 网 络 上 * 慢 跑 ”。 那 不 是 现在 传统 意义 上 的 Internet, 而 是 最 为 初级 的 BBS 站 
点 ,以 一 种 依靠 拨 电 话 号 码 直接 连接 到 BBS 服务 器 上 的 方式 来 进行 交流 。 

时 光 转 眼 到 了 1996 年 ,在 中 国 网 民 的 年 代 分 类 中 ,在 1996 年 以 前 接触 网 络 的 人 被 
称 为 中 国 的 第 一 代 网 民 ,或 许 在 这 其 中 有 些 人 从 来 没有 接触 过 Internet, 所 接触 的 最 多 也 
就 是 那 种 电话 连接 的 BBS, 但 是 他 们 仍然 无 愧 于 中 国 第 一 代 网 民 。1995 一 1996 年 这 一 期 
间 , 中 国 各 个 大 中 城市 的 互联 网 信息 港 基本 已 经 初 具 规模 ,中 国 国 际 互联 网 的 第 一 代 网 
管 诞生 ,中 国 第 一 代 的 大 众 网 民 也 开始 走出 BBS, 而 融入 这 种 天 地 更 为 广阔 的 Internet。 
那 两 年 是 中 国 互联 网 初步 成 长 的 时 期 ,也 同样 是 中 国 软件 业 开 始 莲 勃 发 展 的 时 期 。 中 国 
网 络 人 以 自己 的 方式 做 着 自己 的 梦 , 在 这 些 人 中 很 多 是 接触 过 早期 BBS 的 网 友 , 在 他 们 
看 来 ,从 BBS 移师 Internet 只 不 过 将 自己 的 舞台 扩大 了 一 些 .让 自己 的 眼睛 看 得 更 多 了 
一 些 。 当 然 在 那个 阶段 ,除了 窃 客 以 外 ,电话 飞 客 也 曾 出 现在 中 国 , 但 是 由 于 程控 交换 机 
的 出 现 , 飞 客 很 快 的 成 为 了 历史 。1996 年 底 , 中 国电 信 开 始 实行 优惠 上 网 政策 ,在 此 之 后 
中 国 网 络 开始 了 真正 步 和 人 百姓 家 庭 的 步伐 。 与 此 同时 ,中 国 黑 客 也 在 初 具 规模 的 互联 网 
络 中 诞生 和 发 展 。 


2. 第 2 阶段 .中 国 黑客 的 成 长 (1997 一 1999 年 
1997 年 在 中 国 互联 网 发 展 史上 应 该 是 最 为 值得 纪念 的 一 年 ,而 在 中 国 黑客 成 长 过 程 
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中 , 那 一 时 期 也 哺育 了 众多 的 初级 黑客 ,互联 网 这 一 个 名 词 也 逐渐 被 大 众 接受 ,新 的 思 
想 , 新 的 观念 也 逐渐 从 网 络 中 折射 出 来 。 在 1997 年 初期 ,Yahoo 搜索 引擎 中 只 能 够 搜索 
出 7 个 跟 黑客 相关 的 简体 中 文 网 页 。 而 且 网 站 中 的 内 容 多 数 是 翻译 或 者 重复 国外 相同 
网 页 的 内 容 ,很 多 没有 实际 意义 。 不 过 此 时 “黑客 ”这 一 个 名 词 已 经 开始 正式 地 深入 广大 
网 民 之 中 ,当时 初级 黑客 所 掌握 的 最 高 技术 仅仅 是 使 用 邮箱 炸弹 ,并 且 多 数 是 国外 的 工 
具 , 完 全 没有 自己 的 黑客 武器 ,更 不 要 说 自己 的 精神 领袖 。 那 个 时 期 世界 上 的 黑客 共同 
追随 着 一 个 精神 领袖 凯 文 。 米 特 尼克 ,世界 头号 黑客 。 这 位 传奇 性 人 物 不 单单 领导 着 美 
国 黑客 的 思想 ,也 影响 着 中 国 初级 黑客 前 进 与 探索 的 方向 。 

1998 年 ,正当 国内 开始 艇 艇 烈 烈 地 开展 互联 网 大 跃进 活动 的 时 期 ,在 大 洋 彼岸 的 美 
国 , 一 年 一 度 的 黑客 大 会 上 由 一 个 名 为 “ 死 牛 崇拜 ?黑客 小 组 公布 了 一 款 名 叫 BO(Back 
Orifice) 的 黑客 软件 ,并 将 源 代 码 一 起 发 布 。 这 个 软件 掀起 了 全 球 性 的 计算 机 网 络 安全 
问题 ,并 推进 了 “特洛伊 木马 "这 种 黑客 软件 的 飞速 发 展 。BO 公布 后 , 透 过 刚刚 兴起 的 互 
联网 迅速 传 到 了 中 国 , 当 时 很 多 网 友 就 是 使 用 这 款 软件 开始 了 对 黑客 生涯 的 初恋 。 但 是 
BO 并 没有 在 中 国 掀起 浪潮 ,当然 因素 是 多 种 多 样 的 ,比如 网 络 尚 在 发 展 中 ,BO 为 舶 来 品 
不 方便 中 国 网 友 使 用 等 。 但 是 BO 没有 辉煌 的 另 一 个 主要 原因 是 CIH 病毒 的 诞生 和 大 
规模 发 作 。 这 个 有 史 以 来 第 一 个 以 感染 主板 BIOS 为 主要 攻击 目标 的 病毒 给 中 国 经 济 带 
来 了 巨大 的 损失 。 

1998 年 给 还 处 在 发 育 期 的 中 国 黑客 带 来 了 太 多 的 惊奇 `. 恺 惧 、 理 想 与 动力 。 在 BO 
诞生 不 入 ,中 国 黑客 自己 的 特洛伊 木马 也 诞生 了 ,这 就 是 网 络 间谍 NetSpy。 但 是 NetSpy 
的 诞生 并 没有 给 中 国 黑 客 的 发 展 带 来 太 大 的 震动 ,这 一 切 都 让 CIH 的 光芒 所 掩盖 了 。 少 
量 的 国产 工具 开始 小 范围 流行 于 中 国 黑客 之 间 。 当 大 家 正在 为 杀毒 而 忙 得 不 可 开交 的 
时 候 , 一 次 国际 性 事件 掀起 了 中 国 黑客 首次 浪潮 。 

木马 冰河 是 中 国 黑客 史 中 必 须 提 到 的 一 个 软件 , 它 由 中 国安 全 程序 员 编 写 , 软 件 人 
员 在 开发 这 个 软件 的 最 初版 本 的 时 候 并 没有 考虑 到 它 能 够 作为 一 个 特洛伊 木马 来 使 用 ， 
但 随后 冰河 疯狂 流行 于 黑客 手中 ,很 多 用 户 在 不 知 不 觉 中 被 冰河 控制 。 早 期 的 冰河 还 不 
能 算是 一 个 好 的 木马 软件 ,随后 软件 开发 人 员 用 了 大 量 的 时 间 对 冰河 进行 代码 重 构 , 冰 
河 2. 2 版 本 诞生 了 。 新 版 本 的 冰河 迅速 被 流传 出 去 ,并 让 大 批 初级 黑客 快速 地 步 人 黑客 
这 扇 大 门 。 中 国 黑客 软件 的 开发 从 此 走向 了 新 的 纪元 ,再 次 之 后 ,黑洞 、 网 络 神偷 、. 灰 铅 
子 .XSan、YAI 等 众多 优秀 的 国产 黑客 软件 纷纷 涌现 ,黑客 也 开始 出 现 商 业 化 迹象 ,由 前 
“绿色 兵团 ”成 员 组 建 的 “中 联 绿 盟 ” 网 络 安全 公司 成 立 , 正 式 开 始 了 黑客 向 商业 化 迈进 的 
脚步 ,中 国 黑客 逐渐 成 长 了 起 来 。 


3. 第 3 阶段 ,浮躁 的 欲望 (从 2000 年 开始 ) 


2000 年 成 为 了 中 国 网 络 最 为 辉煌 的 一 年 ,网 吧 也 在 全 国 各 地 蜂拥 出 现 , 上 网 的 人 群 
更 比 20 世纪 增加 了 一 倍 多 。 一 时 间 “ 你 上 网 了 吗 ?” 成 为 了 流行 问候 语 。 与 此 同时 中 国 
的 黑客 队伍 也 在 迅速 扩大 着 ,众多 的 黑客 工具 与 软件 使 得 进入 黑客 的 门槛 大 大 降低 , 黑 
客 不 再 是 网 络 高 手 的 代名词 ,很 多 黑客 很 有 可 能 就 是 一 个 嘴 里 中 着 棒 棒 糖 手 里 翻 着 小 学 
课本 的 孩子 。 
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2000 年 ,一 个 全 新 的 概念 “ 蓝 客 ” 问 世 了 。 这 时 国内 的 黑客 基本 分 成 3 种 类 型 。 一 种 
是 以 中 国 红 客 为 代表 ,是 爱国 主义 情结 的 黑客 。 另 外 一 种 是 以 蓝 客 为 代表 ,他 们 热衷 于 
纯粹 的 互联 网 安全 技术 ,对 于 其 他 问题 不 关心 的 技术 黑客 。 最 后 一 种 就 是 完全 追求 黑客 
原始 本 质 精神 ,不 关心 政治 ,对 技术 进行 疯狂 追求 的 本 色 黑客 。 

2001 年 4 月 1 日 ,我 国 南海 地 区 发 生 了 “中 美 撞 机 事件 "后 ,美国 一 个 名 为 PoizonBOx 
黑客 组 织 率 先 向 我 国 的 一 些 网 站 发 起 了 恶意 的 进攻 。 中 美 黑客 产生 了 一 些小 的 摩擦 。 到 
了 五 一 假期 ,许多 中 国 黑客 拿 起 了 手中 的 武器 ,大 规模 地 向 美国 网 站 展开 进攻 。 

近 几 年 中 ,中 国 黑客 思想 开始 逐渐 成 熟 ,众多 黑客 纷纷 再 次 回归 技术 ,不 再 热衷 于 媒 
体 的 炒作 。 黑 客 道德 与 黑客 文化 的 讨论 和 延伸 也 让 中 国 黑客 逐步 地 重 返 自然 状态 ,致力 
于 对 网 络 安全 技术 的 研究 。 

相对 于 现在 的 中 国 黑客 现状 来 说 ,中 国 黑客 针对 商业 犯罪 的 行为 不 多 ,报刊 出 现 一 
些 所 谓 的 商业 黑客 犯罪 行为 ,实际 上 多 属 采用 物理 手段 ,而 非 网 络 手 段 。 尽 管见 诸 报 端 
的 中 国 黑客 行为 多 体现 为 某 种 程度 上 的 爱国 情绪 的 宣泄 ,但 是 黑客 行为 毕 竞 大 部 分 是 个 
人 行为 ,如 果 不 加 引导 ,有 发 展 成 计算 机 网 络 犯罪 的 可 能 。 但 是 客观 地 说 ,中 国 黑客 行动 
对 我 国 网 络 安全 起 到 了 启蒙 作用 ,没有 黑客 ,就 没有 网 络 安全 这 个 概念 。 同 时 ,一 批 黑客 
高 手 已 转变 为 网 络 安全 专家 ,他 们 发 现 安全 漏洞 ,研发 出 众多 安全 技术 和 安全 软件 ,对 我 
国 计 算 机 网 络 的 发 展 做 出 了 贡献 。 
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1321 黑客 攻击 步骤 


黑客 攻击 的 基本 步骤 如 下 : 

(1) 搜集 信息 。 

(2) 实施 人 侵 。 

(3) 上 传 程序 ,下 载 数据 。 

(4) 利用 一 些 方法 来 保持 访问 ,如 后 门 、 特 洛 伊 木马 。 

(5) 隐藏 踪迹 。 

在 攻击 者 对 特定 的 网 络 资源 进行 攻击 以 前 ,他 们 需要 了 解 将 要 攻击 的 环境 ,这 需要 
搜集 汇总 各 种 与 目标 系统 相关 的 信息 ,包括 计算 机 数目 、 类 型 和 操作 系统 等 。 踩 点 和 扫 
描 的 目的 都 是 进行 信息 的 搜集 。 

攻击 者 搜集 目标 信息 一 般 采 用 7 个 基本 步骤 ,每 一 步 均 有 可 利用 的 工具 ,攻击 者 利 
用 它们 得 到 攻击 目标 所 需要 的 信息 。 

(1) 找到 初始 信息 。 

(2) 找到 网 络 的 地 址 范围 。 

(3) 找到 活动 的 计算 机 。 

(4) 找到 开放 端口 和 入 口 点 。 

(5) 识别 主机 操作 系统 。 
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(6) 识别 每 个 端口 运行 的 是 哪 种 服务 。 
(7) 画 出 网 络 拓扑 图 。 


1. 找到 初始 信息 


攻击 者 危害 一 台 计 算 机 需要 有 初始 信息 ,比如 一 个 IP 地 址 或 一 个 域名 。 然 后 根据 
已 知 的 域名 搜集 该 站 点 的 有 关 信 息 。 比 如 服务 器 的 IP 地 址 或 者 这 个 站 点 的 工作 人 员 名 
单 、 电 话 号 码 等 信息 ,这 些 信息 足够 帮助 发 起 一 次 成 功 的 社会 攻击 。 
搜集 初始 信息 的 一 些 方法 包括 : 
1) 开放 来 源 信息 (open source information) 
在 一 些 情况 下 ,公司 会 在 不 知 不 觉 中 泄露 大 量 信息 。 比 如 公司 认为 是 一 般 的 、 可 以 
公开 的 客户 信息 ,都 能 被 攻击 者 利用 。 这 种 信息 一 般 称 为 开放 来 源 信息 。 
开放 来 源 信息 是 关于 公司 或 者 它 的 合作 伙伴 一 般 的 .公开 的 信息 ,是 任何 人 都 能 够 
得 到 的 信息 。 这 意味 着 存 取 或 者 分 析 这 种 信息 比较 容易 ,并 且 没有 犯罪 的 因素 ,是 合法 
的 。 这 里 列 出 几 种 获取 信息 的 例子 ， 
。 公司 新 闻 信息 。 如 某 公 司 为 展示 其 技术 的 先进 性 和 能 为 客户 提供 最 好 的 监控 能 
力 .容错 能 力 .服务 速度 ,往往 会 不 经 意 间 泄露 了 系统 的 操作 平台 、 交 换 机 型 号 及 
基本 的 线路 连接 。 
。 公司 员 工 信 息 。 大 多 数 公司 网 站 上 附 有 全 体 员工 姓名 及 地 址 簿 、 电 话 号 码 等 ,在 
上 面 不 仅 能 发 现 公 司 主管 和 财务 总 监 人 员 , 而 且 也 能 得 到 公司 的 机 构 设 置信 息 ， 
这 些 信息 足以 让 攻击 者 发 起 一 次 社会 攻击 。 
。 新 闻 组 。 现 在 越 来 越 多 的 技术 人 员 使 用 新 闻 组 论坛 来 帮助 解决 公司 的 问题 , 攻 
击 者 也 可 从 中 得 到 一 些 有 用 的 信息 ,比如 知道 公司 有 什么 设备 ,还 可 帮助 他 们 撕 
测 出 技术 支持 人 员 的 水 平 。 
2) Whois 
对 于 攻击 者 而 言 ,任何 有 域名 的 公司 必定 会 泄露 某 些 信息 。 
攻击 者 会 对 一 个 域名 执行 Whois 程序 以 找到 附加 的 信息 。UNIX 的 大 多 数 版 本 装 
有 Whois 程序 ,所 以 攻击 者 只 需 在 终端 窗口 或 者 命令 提示 行 下 执行 “whois 一 要 攻击 的 
域名 二 ”命令 就 可 以 了 。 对 于 Windows 操作 系统 ,要 执行 Whois 查找 ,需要 一 个 工具 , 比 
如 sam spade。 
通过 查看 Whois 的 输出 ,攻击 者 会 得 到 一 些 非常 有 用 的 信息 ,比如 一 个 物理 地 址 一 
些 人 名 和 电话 号 码 。 非 常 重要 的 是 通过 Whois 可 获得 攻击 域 的 主要 服务 器 IP 地 址 。 
3) Nslookup 
找到 附加 IP 地 址 的 一 个 方法 是 对 一 个 特定 域 询问 DNS。 这 些 域名 服务 器 包括 特定 
域 的 所 有 信息 和 链接 到 网 络 上 所 需 的 全 部 数据 。 
另 一 个 得 到 IP 地 址 的 简单 方法 是 ping 域名 。ping 一 个 域名 时 ,程序 做 的 第 一 件 事 
情 是 设法 把 主机 名 解析 为 IP 地 址 并 输出 到 屏幕 。 攻 击 者 得 到 网 络 的 地 址 ,能 够 把 此 网 
络 当 作 初 始 攻击 站 点 。 
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2. 找到 网 络 的 地 址 范围 


当 攻 击 者 找到 了 部 分 计算 机 的 IP 地 址 后 ,下 一 步 需 要 找 出 网 络 的 地 址 范围 或 者 子 
网 掩 码 。 
需要 知道 地 址 范围 的 主要 原因 是 ,保证 攻击 者 能 集中 精力 对 付 一 个 网 络 而 不 至 于 闯 
和 人 其 他 网 络 。 这 样 做 有 两 个 原因 ,第 一 ,假设 有 地 址 10. 10. 10. 5, 要 扫描 整个 A 类 地 址 
需要 相当 长 的 一 段 时 间 。 如 果 正 在 跟踪 的 目标 只 是 地 址 的 一 个 小 子 集 ,就 可 节省 很 多 时 
间 ; 第 二 ,一 些 公 司 有 比 其 他 公司 更 好 的 安全 性 ,因此 跟踪 较 大 的 地 址 空间 增加 了 危险 。 
比如 攻击 者 可 能 会 问 入 一 个 具有 良好 安全 性 的 公司 , 它 便 报告 这 次 攻击 并 发 出 报警 。 
攻击 者 能 用 两 种 方法 找到 这 一 信息 , 较 容易 实现 的 方法 是 使 用 ARIN(America Registry 
for Internet Numbers) Whois 搜索 找到 信息 ;困难 的 方法 是 使 用 tranceroute 解析 结果 。 
。 ARIN 允许 任何 人 搜索 Whois 数据 库 找 到 “网 络 上 的 定位 信息 、 自 治 系统 号 码 
(ASN)、 有 关 的 网 络 句 柄 和 其 他 有 关 的 接触 点 (POC)。” 基 本 上 ,常规 的 Whois 会 
提供 关于 域名 的 信息 。ARINWhois 允许 询问 IP 地 址 ,帮助 找到 关于 子 网 地 址 和 
网 络 如 何 被 分 割 的 策略 信息 。 
。 使 用 traceroute 可 以 找到 一 个 数据 包 通 过 网 络 的 路 径 。 因 此 利用 这 一 信息 ,能 决 
定 主机 是 否 在 相同 的 网 络 上 。 
连接 到 Internet 上 的 公司 有 一 个 外 部 服务 器 把 网 络 连 到 ISP 或 者 Internet 上 ,所 有 
去 往 公 司 的 流量 必须 通过 外 部 路 由 器 ,否则 进入 不 了 网 络 , 因 大 多 数 公 司 有 防火 墙 , 所 以 
traceroute 输出 的 最 后 一 跳 是 目的 计算 机 ,倒数 第 二 跳 是 防火 墙 ,倒数 第 三 跳 是 外 部 路 由 
器 。 通 过 相同 外 部 路 由 器 的 所 有 计算 机 属于 同一 网 络 ,通常 也 属于 同一 公司 。 因 此 攻击 
者 通过 tranceroute 查看 到 达 的 各 种 IP 地 址 ,看 这 些 机 器 是 否 通过 相同 的 外 部 路 由 器 ,就 
知道 它们 是 否 属于 同一 网 络 。 


3. 找到 活动 的 机 器 


在 知道 了 IP 地 址 范围 后 ,攻击 者 想 知道 哪些 计算 机 是 活动 的 ,哪些 是 不 活动 的 。 公 
司 里 一 天 中 不 同 的 时 间 有 不 同 的 计算 机 在 活动 。 一 般 攻击 者 在 白天 寻找 活动 的 计算 机 ， 
然后 在 深夜 再 次 查找 ,他 就 能 区 分 工作 站 和 服务 器 。 服 务 器 会 一 直 被 使 用 ,而 工作 站 只 
在 正常 工作 日 是 活动 的 ,晚上 经 常 是 处 于 关闭 状态 。 

。 ping。 使 用 ping 可 以 找到 网 络 上 哪些 计算 机 是 活动 的 。 

。 Pingwar。ping 有 一 个 缺点 ,一 次 只 能 ping 一 台 计 算 机 。 攻 击 者 希望 同时 ping 

台 计算 机 ,看 哪些 有 反应 ,这 种 技术 一 般 称 为 ping sweeping。Pingwar 就 是 一 
个 这 样 的 有 用 程序 。 

。 Nmap。Nmap 也 能 用 来 确定 哪些 计算 机 是 活动 的 。Nmap 是 一 个 有 多 用 途 的 工 

有 具 , 是 一 个 端口 扫描 仪 ,但 也 能 ping sweeping 一 个 地 址 范围 。 


4. 找到 开放 端口 和 入 口 点 


1) Port Scanners 


为 了 确定 系统 中 哪 一 个 端口 是 开放 的 ,攻击 者 会 使 用 被 称 为 端口 扫描 仪 (port 
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scanner) 的 程序 。 端 口 扫 描 仪 可 以 找 出 哪些 端口 是 开放 的 。 
端口 扫描 仪 有 两 个 关键 特征 : 第 一 , 它 能 一 次 扫描 一 个 地 址 范围 ;第 二 ,能 设 定 程序 
扫描 的 端口 范围 (能 扫描 1~65 535 的 整个 范围 ) 。 
目前 流行 的 扫描 类 型 有 : 
。 TCP conntect 扫描 ; 
。 TCP SYN 扫描 ; 
。 FIN 扫描 ; 
。 ACK 扫描 。 
常用 端口 扫描 程序 有 : 
。 ScanPort。 在 Windows 环境 下 使 用 .是 一 款 基础 的 端口 扫描 仪 ,能 详细 列 出 地 址 
范围 和 扫描 的 端口 地 址 范围 。 
。 Nmap: 在 UNIX 环境 下 推荐 的 端口 扫描 仪 是 Nmap。Nmap 不 仅 是 端口 扫描 仪 ， 
也 是 安全 工具 箱 中 必 不 可 少 的 工具 。 
2) War Dialing 
进入 网 络 的 另 一 个 普通 入 口 点 是 modem( 调 制 解 调 器 ) 。 用 来 找到 网 络 上 的 modem 
的 程序 称 为 war dialer。 当 提交 了 要 扫描 的 开始 电话 号 码 或 者 号 码 范围 , 它 就 会 拨 叫 每 
一 个 号 码 寻 找 modem 回答 ,如 果 有 modem 回答 了 ,就 会 自动 记录 下 这 一 信息 。 
THC-SCAN 是 常用 的 war dialer 程序 。 


5. 识别 主机 操作 系统 


利用 上 面 的 技术 ,攻击 者 可 掌握 哪些 计算 机 是 活动 的 和 哪些 端口 是 开放 的 ,更 进 一 
步 的 工作 就 是 要 识别 每 台 主 机 运行 哪 种 操作 系统 。 

有 一 些 探测 远程 主机 并 能 确定 在 该 主机 上 运行 哪 种 操作 系统 的 软件 。 这 些 程序 通 
过 向 远程 主机 发 送 不 平常 的 或 者 没有 意义 的 数据 包 来 完成 。 每 一 个 操作 系统 对 它们 的 
处 理 方法 都 不 同 ,攻击 者 通过 解析 输出 ,能 够 弄 清 自己 正在 访问 的 是 什么 类 型 的 设备 和 
在 运行 哪 种 操作 系统 。 
Queso。 是 最 早 实 现 这 个 功能 的 程序 ,Queso 目前 能 够 鉴别 出 范围 从 Microsoft 
到 UNIX 和 Cisco 路 由 器 的 有 100 多 种 不 同 的 设备 。 
Nmap。 具 有 和 Queso 相同 的 功能 ,可 以 说 它 是 一 个 全 能 的 工具 。 目 前 能 检测 出 
接近 400 种 不 同 的 设备 。 


6. 识别 每 个 端口 运行 的 是 哪 种 服务 


1) default port and OS 

基于 公有 的 配置 和 软件 ,攻击 者 能 够 比较 准确 地 判断 出 每 个 端口 在 运行 什么 服务 。 
例如 ,如 果 知 道 操作 系统 是 UNIX 和 端口 25 是 开放 的 ,能 判断 出 机 器 正在 运行 
Sendmail; 如果 操作 系统 是 Microsoft Windows NT 并 且 端 口 25 是 开放 的 ,就 能 判断 出 
正在 运行 Exchange。 
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2) Telnet 

Telnet 是 安装 在 大 多 数 操作 系统 中 的 一 个 程序 , 它 能 连接 到 目的 计算 机 的 特定 端口 
上 。 攻击 者 使 用 这 类 程序 连接 到 开放 的 端口 上 ,大 多 数 操作 系统 的 默认 安装 显示 了 关于 
给 定 的 端口 在 运行 何 种 服务 的 标题 信息 。 

3) Vulnerability Scanner 

Vulnerability Scanner( 弱 点 扫描 器 ) 是 能 被 运行 来 对 付 一 个 站 点 的 程序 , 它 向 黑客 提 
供 一 张 目标 主机 弱点 的 清单 。 


7. 画 出 网 络 拓扑 图 


进入 这 一 阶段 ,攻击 者 得 到 了 各 种 所 需 的 信息 ,进一步 的 工作 就 是 画 出 网 络 拓扑 图 
使 之 能 找 出 最 好 的 人 侵 方 法 。 攻 击 者 可 以 使 用 traceroute 命令 或 者 ping 命令 来 找到 这 
个 信息 ,也 可 以 使 用 诸如 cheops 程序 ,自动 地 画 出 网 络 拓扑 图 。 

经 过 一 系列 的 前 期 准备 ,攻击 者 搜集 了 很 多 信息 ,并 有 了 一 张 网 络 的 详尽 图 ,确切 地 
知道 每 一 台 计算 机 正在 使 用 的 软件 和 版 本 ,并 人 掌握 了 系统 中 的 一 些 弱 点 和 漏洞 。 当 拥有 
了 这 些 信 息 后 ,网 络 实际 上 相当 于 已 受到 了 攻击 。 因 此 ,保证 网 络 安全 最 首要 的 任务 就 
是 使 攻击 者 尽量 少 地 获得 信息 。 


1322 密码 破解 


密码 与 用 户 账户 的 有 效 利用 是 网 络 安全 性 最 大 的 问题 之 一 。 本 小 节 将 研究 密码 破 
解 技术 : 如 何 进行 密码 破解 ? 攻击 者 是 如 何 进入 网 络 的 ? 使 用 的 工具 以 及 抗击 的 方法 是 
什么 ? 

对 公司 或 组 织 的 计算 机 系统 进行 的 攻击 有 多 种 形式 ,例如 电子 欺骗 ,smurf 攻击 以 及 
拒绝 服务 攻击 。 这 些 攻击 被 设计 成 破坏 或 中 断 运营 系统 的 使 用 。 本 小 节 讨 论 一 种 广 为 
流传 的 攻击 形式 , 称 为 “密码 破解 ”技术 。 所 谓 “ 密 码 破解 ”, 实 质 上 是 指 在 使 用 或 不 使 用 
工具 的 情况 下 渗透 网 络 、 系 统 或 资源 ,以 解锁 用 密码 保护 的 资源 ,其 主要 技术 如 下 : 


1. 字典 攻击 (dictionary attack) 


简单 的 字典 攻击 是 冯 入 机 器 的 最 快 方法 。 字 典 文 件 (一 个 充满 字典 文字 的 文本 文 
件 ) 被 装 入 破解 应 用 程序 , 它 是 根据 由 应 用 程序 定位 的 用 户 账户 运行 的 。 因 为 大 多 数 密 
码 通 常 是 简单 的 ,所 以 运行 字典 攻击 通常 足以 实现 目的 了 。 


2. 混合 攻击 (hybrid attack) 


另 一 个 攻击 形式 是 混合 攻击 。 混 合 攻击 将 数字 和 符号 添加 到 文件 名 以 成 功 破解 密 
码 。 许 多 人 只 通过 在 当前 密码 后 加 一 个 数字 来 更 改 密码 。 其 模式 通常 采用 这 一 形式 ,第 
一 个 月 的 密码 是 cat, 第 二 个 月 的 密码 是 catl ,第 三 个 月 的 密码 是 cat2, 以 此 类 推 。 


3. 迹 力 攻击 (brute force attack) 


蛮 力 攻击 又 称 穷 举 攻击 ,是 最 全 面 的 攻击 形式 , 它 通常 需要 很 长 的 时 间 , 这 取决 于 密 
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码 的 复杂 程度 。 根 据 密 码 的 复杂 程度 , 某 些 蛮 力 攻击 可 能 花 很 长 的 时 间 ( 几 天 、 几 个 星期 
甚至 几 个 月 ) 。 


4. 专业 工具 


最 常用 的 工具 之 一 是 LophtCrack( 即 LC4)。LophtCrack 是 允许 攻击 者 获取 加 密 的 
Windows NT/2000 密码 并 将 它们 转换 成 纯 文 本 的 一 种 工具 。Windows NT/2000 密码 
是 密码 散 列 格式 ,如 果 没 有 诸如 LophtCrack 之 类 的 工具 就 无 法 读 取 。 它 的 工作 方式 是 
通过 尝试 每 个 可 能 的 字母 数字 组 合 试图 破解 密码 。 

另 一 个 常用 的 工具 是 协议 分 析 器 (又 称 为 网 络 嗅 探 器 ,如 Sniffer Pro 或 Etherpeek) , 它 
能 够 捕获 它 所 连接 的 网 段 上 的 每 块 数据 。 当 以 混杂 方式 运行 这 种 工具 时 , 它 可 以 “ 嗅 探 出 ” 
该 网 段 上 发 生 的 每 件 事 , 如 用 户 登录 和 数据 传输 。 这 会 严重 地 损害 网 络 安全 性 ,使 攻击 者 
捕获 密码 和 敏感 数据 。 


5. 内 部 攻击 
内 部 攻击 者 是 解密 攻击 最 常见 的 方式 ,因为 攻击 者 具有 对 组 织 系统 的 直接 访问 权限 。 
6. 外 部 攻击 


外 部 攻击 者 是 指 那些 穿 过 “深度 防御 " 奖 入 用 户 网 络 系统 的 人 。 一 种 常见 的 外 部 攻 
击 形式 称 为 “网 站 涂改 ”, 这 一 攻击 使 用 密码 破解 来 渗透 攻击 者 想 破 坏 的 系统 。 另 一 种 密 
人 码 破解 攻击 是 攻击 者 尝试 通过 社会 工程 (social engineering) 获 取 密 码 。 社 会 工程 是 哄骗 
一 个 毫 无 疑虑 的 管理 员 向 攻击 者 说 出 账户 标识 和 密码 的 欺骗 方法 。 


1323 Web 攻 击 


由 于 Web 服务 器 提供 了 几 种 不 同 的 方式 将 请 求 转发 给 应 用 服务 器 ,并 将 修改 过 的 
或 新 的 网 页 发 回 给 最 终 用 户 , 这 使 得 非法 闯 入 网 络 变 得 更 加 容易 。 

而 且 , 许 多 程序 员 不 知道 如 何 开 发 安全 的 应 用 程序 。 他 们 只 会 使 用 现成 的 Intranet 
Web 应 用 程序 ,这 些 应 用 程序 没有 考虑 到 在 安全 缺陷 被 利用 时 可 能 会 出 现 灾难 性 后 果 。 

其 次 ,许多 Web 应 用 程序 容易 受到 通过 服务 器 ,应 用 程序 和 内 部 已 开发 的 代码 进行 
的 攻击 。 这 些 攻击 行动 直接 通过 了 周边 防火 墙 安全 措施 ,因为 端口 80 或 443(SSL, 安 全 
套 接 字 协 议 层 ) 必 须 开放 ,以 便 让 应 用 程序 正常 运行 。Web 应 用 程序 攻击 包括 对 应 用 程 
序 本 身 的 DoS( 拒 绝 服务 ) 攻 击 改变 网 页 内 容 以 及 盗 走 企业 的 关键 信息 或 用 户 信息 等 。 

总 之 ,Web 应 用 攻击 之 所 以 与 其 他 攻击 不 同 ,是 因为 它们 很 难 被 发 现 ,而 且 可 能 来 自 
任何 在 线 用 户 ,甚至 是 经 过 验证 的 用 户 。 目 前 ,企业 用 户主 要 使 用 防火 墙 和 入 侵 检 测 解 
决 方 案 来 保护 其 网 络 的 安全 ,而 防火 墙 和 入 侵 检 测 解 决 方案 发 现 不 了 Web 的 攻击 行为 。 


1. 常见 的 Web 应 用 安全 漏洞 


1) 已 知 弱 点 和 错误 配置 
已 知 弱点 包括 Web 应 用 使 用 的 操作 系统 、 第 三 方 应 用 程序 中 的 程序 错误 或 者 可 以 
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被 利用 的 漏洞 。 这 个 问题 也 涉及 到 错误 配置 ,包含 有 不 安全 的 默认 设置 或 管理 员 没 有 进 
行 安全 配置 的 应 用 程序 。 一 个 很 好 的 例子 就 是 Web 服务 器 被 配置 成 可 以 让 任何 用 户 从 
任何 目录 路 径 通过 ,这 样 会 导致 泄露 存储 在 Web 服务 器 上 的 一 些 敏感 信息 ,比如 口令 、 
源 代码 或 客户 信息 等 。 

2) 隐藏 字段 

在 许多 应 用 中 ,隐藏 的 HTML 格式 字段 被 用 来 保存 系统 口令 或 商品 价格 。 尽 管 其 
名 称 如 此 ,但 这 些 字段 并 不 是 很 隐蔽 的 ,任何 在 网 页 上 执行 “查看 源 代码 ”的 人 都 能 看 见 。 
许多 Web 应 用 允许 恶意 的 用 户 修改 HTML 源 文件 中 的 这 些 字 段 ,为 他 们 提供 了 以 极 小 
成 本 或 无 需 成 本 购买 商品 的 机 会 。 这 些 攻 击 行动 之 所 以 成 功 ,是 因为 大 多 数 应 用 没有 对 
返回 网 页 进行 验证 ;相反 ,它们 认为 输入 数据 和 输出 数据 是 一 样 的 。 

3) 后 门 和 调试 漏洞 

开发 人 员 常 常 建立 一 些 后 门 并 依靠 调试 来 排除 应 用 程序 的 故障 。 在 开发 过 程 中 这 
样 做 是 无 可 非议 的 ,遗憾 的 是 ,这 些 安全 漏洞 并 没有 被 删除 而 是 被 保留 在 最 终 的 应 用 程 
序 中 。 一 些 常见 的 后 门 使 攻击 者 不 用 口令 就 可 以 登录 或 者 访问 直接 进行 应 用 配置 的 特 
殊 URL。 

4) 跨 站 点 脚本 编写 

一 般 来 说 , 跨 站 点 编写 脚本 是 将 代码 插入 由 另 一 个 源 发 送 的 网 页 之 中 的 过 程 。 利 用 
跨 站 点 编写 脚本 的 一 种 方式 是 通过 HTML 格式 ,将 信息 帖 到 公告 牌 上 就 是 跨 站 点 脚本 
编写 的 一 个 很 好 范例 。 恶 意 的 用 户 会 在 公告 牌 上 帖 上 包含 有 恶意 的 JavaScript 代码 的 信 
息 。 当 用 户 查 看 这 个 公告 牌 时 ,服务 器 除 正常 显示 HTML 网 页 内 容 以 外 ,还 自动 运行 附 
带 的 恶意 代码 ,而 且 是 在 用 户 不 知道 的 情况 下 悄悄 地 运行 的 。 

5) 参数 算 改 

参数 自 改 包括 操纵 URL 字符 串 , 以 检索 用 户 用 其 他 方式 得 不 到 的 信息 。 访 问 Web 
应 用 的 后 端 数据 库 是 通过 常常 包含 在 URL 中 的 SQL 调用 来 进行 的 。 恶 意 的 用 户 可 以 
操纵 SQL 代码 ,以 便 将 来 有 可 能 检索 一 份 包含 所 有 用 户 、 口 令 和 信用 卡号 的 清单 或 者 储 
存在 数据 库 中 的 任何 其 他 数据 。 

6) 更 改 Cookie 

更 改 Cookie 指 的 是 修改 存储 在 Cookie 中 的 数据 。 网 站 常常 将 一 些 包 括 用 户 ID . 口 
令 和 账号 等 的 Cookie 存储 到 用 户 系统 上 。 通 过 改变 这 些 Cookie 值 , 恶 意 的 用 户 就 可 以 
访问 不 属于 他 们 的 账户 。 攻 击 者 也 可 以 窃取 用 户 的 Cookie 并 访问 用 户 的 账户 ,而 不 必 输 
和 ID 和 口令 或 进行 其 他 验证 。 

7) 输入 信息 控制 

输入 信息 检查 是 指 通过 控制 由 CGI 脚本 处 理 的 .HTML 格式 的 输入 信息 来 运行 系 
统 命令 。 

8) 缓冲 区 溢出 

缓冲 区 溢出 是 恶意 的 用 户 向 服务 器 发 送 大 量 数 据 以 使 系统 瘫痪 的 典型 攻击 手段 ,该 
系统 包括 存储 这 些 数据 的 预 置 缓冲 区 。 如 果 所 收 到 的 数据 量 大 于 缓冲 区 , 则 部 分 数据 就 
会 溢出 到 堆栈 中 。 如 果 这 些 数据 是 代码 ,系统 随后 就 会 执行 溢出 到 堆栈 上 的 任何 代码 。 
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Web 应 用 缓冲 区 溢出 攻击 的 典型 例子 也 涉及 到 HTML 文件 。 如 果 HTML 文件 上 的 一 
个 字段 中 的 数据 足够 大 ,就 能 创造 一 个 缓冲 区 溢出 条 件 。 

9) 直接 访问 浏览 

直接 访问 浏览 指 直接 访问 应 该 需要 验证 的 网 页 。 没 有 正确 配置 的 Web 应 用 程序 可 
以 让 恶意 的 用 户 直接 访问 包括 有 敏感 信息 的 URL。 


2. 通过 分 析 Web 服务 器 记录 查 黑客 攻击 的 踪迹 


在 这 里 ,主要 介绍 如 何 分 析 Web 服务 器 记录 ,在 众多 记录 里 查找 黑客 攻击 的 蛛 丝 马 
迹 ,并 针对 当今 流行 的 两 类 Web 服务 器 给 出 一 些 具 体 的 措施 。 

现今 的 网 络 , 安 全 越 来 越 受 到 重视 ,在 构建 网 络 安全 环境 时 ,在 技术 手段 及 管理 制度 
等 方面 都 逐步 加 强 了 ,设置 防火 墙 ,安装 入 侵 检 测 系统 等 。 但 网 络 安全 是 个 全 方位 的 问 
题 ,忽略 哪 一 点 都 会 造成 “ 木 桶 "效应 ,使 得 整个 安全 系统 虚设 。 下 面 从 分 析 Web 服务 器 
的 logging 记录 来 找 出 漏洞 ,防范 攻击 ,从 而 加 强 Web 服务 器 安全 。 

1) 默认 的 Web 记录 

对 于 IIS, 其 默认 记录 存放 在 c: \winnt\system32\logfiles\w3svcl 中 ,文件 名 就 是 当 
天 的 日 期 ,记录 格式 是 标准 的 W3C 扩展 记录 格式 ,可 以 用 各 种 记录 分 析 工 具 解 析 , 默 认 
的 格式 包括 时 间 、 访 问 者 IP 地 址 .访问 的 方法 .请求 的 资源 和 HTTP 状态 (用 3 位 数字 表 
示 ) 等 。 对 于 HTTP 状态 ,200 一 299 表明 访问 成 功 ;300 一 399 表明 需要 客户 端 反应 来 满 
足 请 求 ;:400 一 499 和 500 一 599 表明 客户 端 和 服务 器 出 错 ,如 404 表示 资源 没 找到 ,403 
表示 访问 被 禁止 。 

Apache 的 默认 记录 存放 在 /usr/local/apache/logs 中 ,其 中 最 有 用 的 记录 文件 是 access_ 
log, 其 格式 包括 客户 端 P\ 个 人 标识 (一 般 为 空 )、 用 户 名 ,访问 方式 .HTTP 状态 和 传输 的 字 
节 数 等 。 

2) 收集 信息 

可 以 模拟 黑客 攻击 服务 器 的 通常 模式 ,先是 收集 信息 ,然后 通过 远程 命令 一 步 步 实 
施 入 侵 。 

3) Web 站 点 镜像 

黑客 经 常 镜像 一 个 站 点 来 帮助 攻击 服务 器 .常用 来 镜像 的 工具 有 Windows 下 的 
Teleport pro 和 UNIX 下 的 Wget。 

4) 漏洞 扫描 

随 着 攻击 的 发 展 ,用 户 可 以 用 一 些 Web 漏洞 检查 的 软件 ,如 Whisker, 它 可 以 检查 已 
知晓 的 各 种 漏洞 ,如 CGI 程序 导致 的 安全 隐患 等 。 

5) 远程 攻击 

可 以 针对 IIS 的 MDAC 攻击 ,来 了 解 远 程 攻击 在 log 里 的 记录 情况 。MDAC 漏洞 使 
得 攻击 者 可 以 在 Web 服务 器 端 执行 任何 命令 。 
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1324 IP 地 址 攻击 


1. OOB 攻击 


OOB 是 利用 NETBIOS 中 一 个 OOB(Out of Band, 例 外 处 理 程序 ) 的 漏洞 来 进行 攻 
击 的 ,其 原理 是 通过 TCP/IP 协议 传递 一 个 数据 包 到 计算 机 某 个 开放 的 端口 上 (一 般 是 
137、138 和 139), 当 计算 机 收 到 这 个 数据 包 之 后 就 会 瞬间 死机 或 者 出 现 蓝 屏 现象 ,不 重 
新 启动 计算 机 就 无 法 继续 使 用 TCP/IP 协议 来 访问 网 络 。 


2. Dos 攻击 


这 是 针对 ICMP 协议 进行 的 DoS 攻击 ,一 般 来 说 .这 种 攻击 是 利用 对 方 计算 机 上 所 
安装 协议 的 漏洞 来 连续 发 送 大 量 的 数据 包 , 造 成 对 方 计算 机 的 死机 。 


3. WinNuke 攻击 


目前 的 WinNuke 系列 工具 已 经 从 最 初 的 简单 选择 IP 攻击 某 个 端口 发 展 到 可 以 攻 
击 一 个 IP 区 间 范 围 的 计算 机 ,并 且 可 以 进行 连续 攻击 ,能 够 验证 攻击 的 效果 ,还 可 以 检 
测 和 选择 端口 ,所 以 使 用 它 可 以 造成 某 一 个 IP 地 址 区 间 的 计算 机 全 部 蓝屏 死机 。 


4. SSPing 攻击 


这 是 一 个 IP 攻击 工具 , 它 的 工作 原理 是 向 对 方 的 计算 机 连续 发 出 大 型 的 ICMP 数 
据 包 ,被 攻击 的 机 器 会 试图 将 这 些 文件 包 合 并 处 理 , 从 而 造成 系统 死机 。 


5. TearDrop 攻击 


这 种 攻击 方式 利用 在 TCP/IP 堆栈 实现 中 信任 IP 碎片 包 的 标题 头 所 包含 的 信息 来 
实现 自己 的 攻击 ,由 于 IP 分 段 中 含有 指示 该 分 段 所 包含 的 是 原 包 哪 一 段 的 信息 ,所 以 一 
些 操作 系统 下 的 TCP/IP 协议 在 收 到 含有 重叠 偏 移 的 伪造 分 段 时 将 崩溃 。TeadDrop 最 
大 的 特点 是 除了 能 够 对 Windows 2000/NT 进行 攻击 之 外 ,Linux 也 不 能 幸免 。 


1325 电子 邮件 攻击 


电子 邮件 是 当今 世界 上 使 用 最 频繁 的 商务 通信 工具 , 据 可 靠 统 计 显 示 , 目 前 全 球 每 
天 的 电子 邮件 发 送 量 已 超过 数 百 亿 条 ,预计 到 2008 年 该 数字 还 将 增长 一 倍 。 

电子 邮件 的 持续 升温 使 之 成 为 企图 进行 破坏 的 人 所 日 益 关 注 的 目标 。 如 今 , 黑 客 和 
病毒 制造 者 在 不 断 开发 新 的 和 有 创造 性 的 方法 ,以 期 突破 网 络 的 安全 防范 措施 。 

典型 的 互联 网 通信 协议 有 TCP 和 UDP 协议 .其 开放 性 常常 引 来 黑客 的 攻击 。 而 IP 
地 址 的 脆弱 性 ,也 给 黑客 的 伪造 提供 了 方便 ,从 而 泄露 远程 服务 器 的 资源 信息 。 

很 多 电子 邮件 网 关 , 对 于 过 期 的 电子 邮件 地 址 ,系统 则 回复 发 件 人 ,告诉 他 们 这 些 电 
子 邮 件 地 址 无 效 。 黑 客 则 利用 电子 邮件 系统 这 种 内 在 “礼貌 性 ”的 信息 来 访问 有 效 地 址 ， 
并 会 将 其 添加 到 合法 地 址 数据 库 中 。 
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由 于 企业 日 益 依赖 于 电子 邮件 系统 ,必须 解决 电子 邮件 传播 的 攻击 和 易 受 攻击 的 电 
子 邮件 系统 所 受 的 攻击 。 解 决 方法 如 下 : 
。 在 电子 邮件 系统 周围 锁定 电子 邮件 系统 。 电 子 邮 件 系统 周边 控制 开始 于 电子 邮 
件 网 关 的 部 署 。 电 子 邮件 网 关 应 根据 特定 目标 .要 加 固 的 操作 系统 和 防止 网 关 受 
到 威胁 的 人 侵 检测 功能 一 起 构建 。 
”。 确保 外 部 系统 访问 的 安全 性 。 电 子 邮件 安全 网 关 必 须 负 责 处 理 来 自 所 有 外 部 系 
统 的 通信 ,并 确保 通过 的 信息 流量 是 合法 的 。 通 过 确保 外 部 访问 的 安全 ,可 以 防 
止 人 侵 者 利用 Web 邮件 等 应 用 程序 访问 内 部 系统 。 
。 实时 监视 电子 邮件 流量 。 实 时 监视 电子 邮件 流量 对 于 防止 黑客 利用 电子 邮件 访 
问 内 部 系统 是 至 关 重 要 的 。 检 测 电子 邮件 中 的 攻击 和 漏洞 攻击 (如 畸形 MIME) 
需要 持续 监视 所 有 电子 邮件 。 
在 上 述 安全 保障 的 基础 上 ,电子 邮件 安全 网 关 应 简化 管理 员 的 工作 ,能 够 轻松 集成 、 
轻松 配置 。 


1326 拒绝 服务 攻击 


1. 什么 是 拒绝 服务 攻击 


拒绝 服务 攻击 (DoS) 是 一 种 最 悠久 也 是 最 常见 的 攻击 形式 。 严 格 来 说 ,拒绝 服务 攻 
击 并 不 是 某 一 种 具体 的 攻击 方式 ,而 是 攻击 所 表现 出 来 的 结果 ,最 终 使 得 目标 系统 因 遭 
受 某 种 程度 的 破坏 而 不 能 继续 提供 正常 的 服务 .甚至 导致 物理 上 的 瘫痪 或 月 溃 。 有 具体 的 
操作 方法 可 以 是 多 种 多 样 的 ,可 以 是 单一 的 手段 ,也 可 以 是 多 种 方式 的 组 合 利用 ,其 结果 
都 是 一 样 的 ,即使 合法 用 户 无 法 正常 访问 系统 。 

通常 拒绝 服务 攻击 可 分 为 两 种 类 型 : 

第 一 种 是 使 一 个 系统 或 网 络 瘫 病 。 如 果 攻 击 者 发 送 一 些 非法 的 数据 或 数据 包 , 就 可 
以 使 系统 死机 或 重新 启动 。 本 质 上 是 攻击 者 进行 了 一 次 拒绝 服务 攻击 ,因为 在 受到 拒绝 
服务 攻击 后 没有 人 能 够 使 用 计算 机 网 络 资源 。 从 攻击 者 的 角度 来 看 ,攻击 的 刺激 之 处 在 
于 可 以 只 发 送 少量 的 数据 包 就 使 一 个 网 络 系统 瘫痪 。 在 大 多 数 情况 下 ,系统 重新 上 线 需 
要 管理 员 的 干预 ,重新 启动 或 关闭 系统 。 所 以 这 种 攻击 是 最 具 破坏 力 的 。 

第 二 种 攻击 是 向 系统 或 网 络 发 送 大量 信 息 ,使 系统 或 网 络 因为 要 回应 和 处 理 这 些 信 
息 而 不 能 响应 其 他 服务 。 例 如 ,如 果 一 个 网 络 系统 在 lmin 之 内 只 能 处 理 5000 个 数据 
包 , 攻 击 者 却 lmin 向 他 发 送 10 000 个 以 上 的 数据 包 , 这 时 ,该 网 络 系统 的 全 部 精力 和 时 
间 都 耗费 在 处 理 这 些 数据 包 上 , 当 合法 用 户 要 连接 系统 时 ,用 户 将 得 不 到 访问 权 , 因 为 系 
统 资源 已 经 不 足 。 进 行 这 种 攻击 时 ,攻击 者 必须 连续 地 向 系统 发 送 数据 包 。 当 攻击 者 停 
止 向 该 网 络 系 统 发 送 数据 包 时 ,攻击 就 会 立即 停止 ,系统 也 就 恢复 正常 了 。 此 攻击 方法 
攻击 者 要 耗费 很 多 精力 和 时 间 , 因 为 必须 不 断 地 发 送 数 据 。 有 时 ,这 种 攻击 会 使 系统 瘫 
痰 ,然而 在 大 多 数 情况 下 ,恢复 系统 只 需要 少量 人 为 干预 。 
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2. 拒绝 服务 攻击 类 型 


1) Ping of Death 

根据 TCP/IP 的 规范 ,一 个 包 的 长 度 最 大 为 65 536B。 尽 管 一 个 包 的 长 度 不 能 超过 
65 536B, 但 是 将 一 个 包 分 成 的 多 个 片段 的 至 加 却 能 做 到 发 送 超 长 包 。 当 一 个 主机 收 到 
了 长 度 大 于 65 536B 的 包 时 ,就 是 受到 了 Ping of Death 攻击 ,该 攻击 会 造成 主机 的 宕 机 。 

2) TearDrop 

IP 数据 包 在 网 络 传递 时 ,数据 包 可 以 分 成 更 小 的 片段 。 攻 击 者 可 以 通过 发 送 两 段 或 
两 段 以 上 的 数据 包 来 实现 TearDrop 攻击 。 第 一 个 包 的 偏 移 量 为 0, 长 度 为 N, 第 二 个 包 
的 偏 移 量 小 于 N。 为 了 合并 这 些 数据 段 ,TCP/IP 堆栈 会 分 配 超 乎 寻常 的 巨大 资源 ,从 而 
造成 系统 资源 的 不 足 而 引起 机 器 的 重新 启动 。 

3) Land 

攻击 者 将 一 个 包 的 源 地 址 和 目的 地 址 都 设置 为 目标 主机 的 地 址 ,然后 将 该 包 通 过 IP 
欺骗 的 方式 发 送 给 被 攻击 主机 ,这 种 包 可 以 造成 被 攻击 主机 因 试图 与 自己 建立 连接 而 陷 
入 死 循环 ,从 而 大 大 降低 了 系统 性 能 。 

4) Smurf 

该 攻击 向 一 个 子 网 的 广播 地 址 发 一 个 带 有 特定 请 求 ( 如 ICMP 回应 请 求 ) 的 包 , 并 且 
将 源 地 址 伪装 成 想 要 攻击 的 主机 地 址 。 子 网 上 所 有 主机 都 回应 广播 包 请 求 而 向 被 攻击 
主机 发 包 , 使 该 主机 受到 攻击 。 

5) SYN flood 

该 攻击 以 多 个 随机 的 源 主机 地 址 向 目的 主机 发 送 SYN 包 , 而 在 收 到 目的 主机 的 
SYN ACK 后 并 不 回应 ,这 样 ,目的 主机 就 为 这 些 源 主机 建立 了 大 量 的 连接 队列 ,由 于 这 
些 主机 在 没有 收 到 ACK 以 前 一 直 保 持 着 这 些 连 接 队 列 , 造 成 了 资源 的 大 量 消耗 而 不 能 
给 正常 请 求 提供 服务 。 

6) CPU Hog 

一 种 通过 耗 尽 系统 资源 使 运行 NT 的 计算 机 瘫痪 的 拒绝 服务 攻击 ,利用 Windows 
NT 指定 当前 运行 程序 的 方式 所 进行 的 攻击 。 

7) Win Nuke 

是 以 拒绝 目的 主机 服务 为 目标 的 网 络 层次 的 攻击 。 攻 击 者 向 受害 主机 的 端口 139 
( 即 NetBios) 发 送 大 量 的 数据 。 因 为 这 些 数据 并 不 是 目的 主机 所 需要 的 ,所 以 会 导致 目 
的 主机 的 死机 。 

8) RPC Locator 

攻击 者 通过 Telnet 连接 到 受害 者 机 器 的 端口 135 上 发 送 数 据 ,导致 CPU 资源 完全 
耗 尽 。 这 种 攻击 可 以 使 受害 计算 机 运行 缓慢 或 者 停止 响应 。 无 论 哪 种 情况 ,要 使 计算 机 
恢复 正常 运行 速度 必须 重新 启动 。 


3. 分 布 式 拒绝 服务 攻击 
分 布 式 拒绝 服务 攻击 (DDoS) 是 攻击 者 经 常 采用 而 且 难 以 防范 的 攻击 手段 。DDoS 
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攻击 是 在 传统 的 DoS 攻击 基础 之 上 产生 的 一 类 攻击 方式 。 单 一 的 DoS 攻击 一 般 是 采用 
一 对 一 方式 的 , 当 目 标 计算 机 处 于 CPU 速度 低 、 内 存 小 或 者 网 络 带宽 窄 的 时 候 , 这 种 攻 
击 的 效果 是 很 明显 的 。 随 着 计算 机 与 网 络 技术 的 发 展 ,计算 机 的 处 理 能 力 迅 速 增长 ,内 
存 大 大 增加 ,同时 也 出 现 了 千 兆 级 别 甚至 万 兆 级 别 的 网 络 ,这 使 得 单一 的 DoS 攻击 困难 
程度 加 大 了 ,目标 对 恶意 攻击 包 的 “消化 能 力 ” 加 强 了 不 少 ,例如 , 设 攻击 软件 1s 可 以 发 
送 1000 个 攻击 包 , 而 目标 主机 与 网 络 带宽 1s 可 以 处 理 10 000 个 攻击 包 , 这 样 一 来 攻击 
就 不 会 产生 什么 效果 ,所 以 分 布 式 的 拒绝 服务 攻击 手段 (DDoS) 就 应 运 而 生 了 。 如 果 用 
一 台 攻 击 机 来 攻击 不 起 作用 的 话 , 攻 击 者 就 使 用 10 台 、100 台 甚至 成 千 上 万 台 攻 击 机 同 
时 向 目标 主机 发 起 攻击 。 

DDoS 就 是 利用 更 多 的 佛 候 机 来 发 起 进攻 ,以 比 从 前 更 大 的 规模 来 进攻 受害 者 。 

高 速 广泛 连接 的 网 络 也 为 DDoS 攻击 创造 了 极为 有 利 的 条 件 。 在 低速 网 络 时 代 , 黑 
客 占领 攻击 用 的 佛 候 机 时 ,总 是 会 优先 考虑 离 目标 网 络 距离 近 的 计算 机 ,因为 经 过 路 由 
器 的 跳 数 少 , 效 果 好 。 而 现在 电信 和 骨干 结 点 之 间 的 连接 都 是 以 GB 为 级 别 的 ,大 城市 之 间 
更 可 以 达到 2. 5G 以 上 的 连接 ,这 使 得 攻击 可 以 从 更 远 的 地 方 或 者 其 他 城市 发 起 ,攻击 者 
的 倪 偶 机 位 置 可 以 分 布 在 更 大 的 范围 ,选择 起 来 更 灵活 了 。 

一 个 完善 的 DDoS 攻击 体系 分 成 四 大 部 分 : 

。 攻击 者 所 在 机 ; 
控制 机 (用 来 控制 斧 偏 机 ); 
。 倪 偶 机; 
。 受害 者 。 


4. 拒绝 服务 攻击 工具 


1) Targa 

可 以 进行 8 种 不 同 的 拒绝 服务 攻击 ,设计 者 是 Mixter, 可 以 在 http: //packerstorm. 
security. com 和 www. rootshell. com 网 站 下 载 。Mixter 把 独立 的 DoS 攻击 代码 放 在 一 
起 ,做 出 一 个 易 用 的 程序 。 攻 击 者 可 以 选择 进行 单个 的 攻击 或 尝试 所 有 的 攻击 ,直到 成 
功 为 止 。 

2) TFN2K 

TFN2K 可 以 看 作 是 Traga 增强 版 本 程序 。TFN2K 运行 的 DoS 攻击 与 Traga 相 
同 , 并 增加 了 5 种 攻击 。 另 外 , 它 是 一 个 DDoS 工具 ,这 意味 着 它 可 以 运行 分 布 模式 , 即 利 
用 TFN2K 可 以 联合 Internet 上 的 多 台 计 算 机 同时 攻击 某 一 台 计 算 机 或 某 一 个 网 站 。 

3) Trinoo 

Trinoo 是 发 布 最 早 的 主流 工具 ,因而 在 功能 上 比 TFN2K 稍 弱 。Trinoo 使 用 TCP 
和 UDP 连接 ,如 果 用 扫描 程序 检测 端口 该 攻击 很 容易 被 检测 到 。 

4) Stacheldraht 

Stacheldraht 是 另 一 个 DDoS 攻击 工具 , 它 结合 了 TFN2K 与 Trinoo 的 特点 ,并 添加 
了 一 些 补充 特征 ,比如 加 密 组 件 之 间 的 通信 和 自动 更 新 守护 进程 。 
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1331 入 侵 检测 技术 及 端口 扫描 技术 


1. 入 侵 检测 技术 


入 侵 检测 (intrusion detection) 的 定义 为 : 识别 针对 计算 机 或 网 络 资源 的 恶意 企图 和 
行为 ,并 对 此 作出 反应 的 过 程 。 入 侵 检测 系统 (IDS) 则 是 完成 如 上 功能 的 独立 系统 。IDS 
能 够 检测 未 授权 对 象 ( 人 或 程序 ) 针 对 系统 的 入 侵 企图 或 行为 (Intrusion) ,同时 监控 授权 
对 象 对 系统 资源 的 非法 操作 (misuse)。 入 侵 检 测 系 统 有 如 下 功能 : 

。 从 系统 的 不 同 环节 收集 信息 。 

。 分 析 该 信息 ,试图 寻找 入 侵 活动 的 特征 。 

。 自动 对 检测 到 的 行为 做 出 响应 。 

。 纪录 并 报告 检测 过 程 结果 。 


2. 端口 扫描 技术 


前 面 介 绍 过 ,端口 扫描 ”通常 指 将 同一 组 信息 发 送 给 目标 计算 机 的 所 有 需要 扫描 的 
端口 ,然后 根据 返回 端口 状态 来 分 析 目 标 计算 机 的 端口 是 否 打开 、 是 否 可 用 。 
入 侵 检 测 技术 与 端口 扫描 技术 详 见 本 书 第 10 章 。 


1332 清除 主机 中 的 Cooke 
1. 什么 是 Cookie 


Cookie( 网 络 小 甜 饼 ) 为 Web 应 用 程序 保存 用 户 相关 信息 提供 了 一 种 有 用 的 方法 。 
例如 , 当 用 户 访问 某 个 站 点 时 ,可 以 利用 Cookie 保存 用 户 首选 项 或 其 他 信息 ,这 样 , 当 用 
户 下 次 再 访问 这 个 站 点 时 ,应 用 程序 就 可 以 检索 Cookie 以 前 保存 的 信息 ,以 加 快 查找 
速度 。 

Cookie 是 一 小 段 文本 信息 ,伴随 着 用 户 请 求 和 页 面 在 Web 服务 器 和 浏览 器 之 间 传 
递 。 用 户 每 次 访问 站 点 时 ,Web 应 用 程序 都 可 以 读 取 Cookie 包含 的 信息 。 

假设 在 用 户 请 求 访问 网 站 www. contoso. com 上 的 某 个 页 面 时 ,应 用 程序 发 送 给 该 
用 户 的 不 仅仅 是 一 个 页 面 , 还 有 一 个 包含 日 期 和 时 间 的 Cookie。 用 户 的 浏览 器 在 获得 页 
面 的 同时 还 得 到 了 这 个 Cookie, 并 且 将 它 保存 在 用 户 硬盘 上 的 某 个 文件 夹 中 。 

以 后 ,如 果 该 用 户 再 次 访问 该 站 点 上 的 页 面 , 即 当 该 用 户 输入 www. contoso. com 
时 ,浏览 器 就 会 在 本 地 硬盘 上 查找 与 该 URL 相关 联 的 Cookie。 如 果 该 Cookie 存在 , 浏 
览 器 就 将 它 与 页 面 请 求 一 起 发 送 到 此 站 点 ,应 用 程序 就 能 确定 该 用 户 上 一 次 访问 站 点 的 
日 期 和 时 间 。 可 以 根据 这 些 信息 向 用 户 发 送 一 条 消息 .也 可 以 检查 过 期 时 间或 执行 其 他 
有 用 的 功能 。 
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Cookie 是 与 Web 站 点 有 关联 的 ,所 以 无 论 用 户 请 求 浏览 站 点 中 的 哪个 页 面 ,浏览 器 
和 服务 器 都 将 交换 www. contoso. com 的 Cookie 信息 。 用 户 访 问 其 他 站 点 时 ,每 个 站 点 
都 可 能 会 向 用 户 浏览 器 发 送 一 个 Cookie, 而 浏览 器 会 将 这 些 Cookie 分 别 保存 。 

用 户 可 用 Cookie 文件 保存 上 网 痕迹 ,以 方便 下 次 再 次 浏览 相关 网 站 时 能 够 快速 定 
位 ,以 提高 网 络 访问 速度 和 效率 。 另 一 方面 ,黑客 在 访问 用 户 的 网 络 或 网 站 后 ,也 会 利用 
Cookie 文件 在 用 户 的 主机 上 保存 痕迹 ,以 方便 下 一 次 攻击 ,因此 ,Cookie 文件 对 用 户 的 计 
算 机 、 网 络 和 网 站 是 有 一 定 的 威胁 和 风险 的 ,因此 ,有 必要 经 常 删 除 主机 中 的 Cookie 文 
件 , 以 确保 网 络 的 安全 。 


2. Cookie 的 删除 
在 下 浏览 器 中 ,选择 “工具 ”|“Internet 选项 ”, 出 现 如 图 13-1 所 示 的 窗口 。 


Internet 选项 


i 
合 和 
[ET La | 


历史 记录 


Ee 圳 8 这 相信 朋 Ti 及 并， 可 人 用 户 岂 


网 页 保存 在 历史 记录 中 的 天 数 四 [Esl rr 
CE Ca Ci ED 
| 


图 13-1 Internet 选项 


在 图 13-1 所 示 的 窗口 中 , 单 击 “ 删 除 Cookies” 按 钮 ,即将 主机 中 所 有 保留 的 Cookie 
全 部 清除 。 


1333 木马 的 清除 与 防范 技术 


1. 何谓 木马 


在 古 希 腊 进 攻 特洛伊 的 一 次 战争 中 ,特洛伊 城 久 攻 不 下 ,谋士 给 指挥 官 出 了 一 个 绝 
妙 的 计谋 。 于 是 ,在 一 次 猛烈 的 攻 城 战斗 结束 后 的 黄 异 .希腊 人 装 败 全 线 撤退 ,并 丢弃 了 
大 量 物品 和 内 藏 士兵 的 木马 在 特洛伊 城 外 .特洛伊 人 在 打扫 战场 时 ,将 所 有 的 木马 当 作 
战 利 器 悉数 拖 入 城中 ,当晚 , 藏 在 木马 中 的 希腊 士兵 与 城 外 的 攻 城 大 军 里 应 外 合 , 一 举 攻 
破 了 特洛伊 城 .特洛伊 木马 的 名 称 也 就 由 此 而 来 。 在 计算 机 里 ,木马 指 的 是 一 种 隐蔽 性 
极 强 、 破 坏 性 极 大 的 病毒 软件 。 
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木马 实质 上 是 一 种 网 络 病毒 ,但 它 通常 作为 黑客 的 主要 攻击 工具 ,所 以 作者 将 木马 
的 清除 与 防范 技术 放 在 本 章 中 进行 介绍 而 不 放 在 第 12 章 。 

木马 主要 目标 是 窃取 计算 机 和 网 络 上 的 数据 ,当然 也 会 破坏 计算 机 文件 , 当 用 户 的 
计算 机 被 木马 攻击 后 ,木马 一 旦 激活 , 则 后 缀 为 dll、in、exe 的 文件 就 是 木马 攻击 的 对 象 ， 
将 会 给 用 户 的 计算 机 和 网 络 以 致命 的 攻击 。 

木马 程序 不 同 于 一 般 的 病毒 程序 ,通常 并 不 像 病 毒 程序 那样 感染 文件 。 木 马 一 般 是 
以 寻找 后 门 .窃取 密码 和 重要 文件 为 主 ,还 可 以 对 计算 机 进行 跟踪 监视 .控制 .查看 和 修 
改 资料 等 操作 ,具有 很 强 的 隐蔽 性 、 突 发 性 和 攻击 性 。 由 于 木马 具有 很 强 的 隐藏 性 ,用 户 
往往 是 在 自己 的 密码 被 盗 、 机 密 文件 丢失 的 情况 下 才 知 道 自己 中 了 木马 。 在 这 里 将 介绍 
如 何 检测 自己 的 计算 机 是 否 中 了 木马 ,如 何 对 木马 进行 清除 和 防范 。 


2. 黑客 是 如 何 种 植木 马 的 


现在 网 络 上 流行 的 木马 基本 上 采用 的 都 是 C/S 结构 (客户 端 /服务 端 ) 。 若 要 使 用 木 
马 控制 对 方 的 计算 机 ,首先 需要 在 对 方 的 计算 机 中 种 植 并 运行 服务 端 程序 ,然后 再 运行 
本 地 计算 机 中 的 客户 端 程序 对 对 方 计算 机 进行 连接 进而 控制 对 方 计算 机 。 

为 了 避免 不 熟悉 木马 的 用 户 误 运行 服务 端 程序 ,现在 流行 的 木马 都 没有 提供 单独 的 
服务 端 程序 ,而 是 通过 用 户 自己 设置 来 生成 服务 端 程序 “黑洞 2004” 就 是 这 样 一 种 木马 。 
首先 运行 “黑洞 2004”, 单 击 “ 功 能 ”1“ 生 成 服务 端 "命令 ,弹出 “服务 端 配 置 " 界 面 。 之 后 ， 
先 单 击 旁边 的 “查看 ”按钮 ,在 打开 的 窗口 中 设置 新 的 域名 ,输入 用 户 事先 申请 空间 的 域 
名 和 密码 , 单 击 * 域 名 注册 ”, 在 下 面 的 窗口 中 会 反映 出 注册 的 情况 。 域 名 注册 成 功 以 后 ， 
返回 “服务 端 配置 "界面 , 填 人 刚刚 申请 的 域名 以 及 “上 线 显示 名 称 "“ 注 册 表 启动 名 称 ” 
等 项 目 。 为 了 迷惑 他 人 ,可 以 单 击 * 更 改 服 务 端 图 标 ” 按 钮 为 服务 端 选择 一 个 图 标 。 所 有 
的 设置 都 完成 后 , 单 击 * 生 成 EXE 型 服务 端 就 生成 了 一 个 服务 端 程序 。 在 生成 服务 端 
程序 的 同时 ,软件 会 自动 使 用 UPX 为 服务 端 进行 压缩 ,对 服务 端 起 到 隐藏 保护 的 作用 。 

服务 端 程序 生成 以 后 ,下 一 步 要 做 的 是 将 服务 端 程序 植 人 别人 的 计算 机 ,常见 的 方 
法 有 ,通过 系统 或 者 软件 的 漏洞 入 侵 别人 的 计算 机 并 把 木马 的 服务 端 程序 植 入 其 计算 机 
中 ;或 者 通过 E-mail 夹带 ,把 服务 端 作为 附件 寄 给 对 方 ; 或 者 把 服务 端 进行 伪装 后 放 到 自 
己 的 共享 文件 夹 , 通 过 P2P 软件 让 网 友 在 毫 无 防范 中 下 载 并 运行 服务 端 程序 。 

在 这 里 介绍 一 种 较为 简单 的 E-mail 夹带 ,以 经 常会 看 到 的 Flash 动画 为 例 , 建 立 一 
个 文件 夹 命名 为 “好 看 的 动画 ”, 在 该 文件 夹 里 边 再 建立 文件 夹 “ 动 画 . files”, 将 木马 服务 
端 软件 放 到 该 文件 夹 中 并 假设 文件 名 称 为 abc. exe, 再 在 该 文件 夹 内 建立 flash 文件 ,在 
flash 文件 的 第 1 帧 输入 文字 “您 的 播放 插件 不 全 , 单 击 下 边 的 按钮 .再 单 击 “ 打 开 ” 按 钮 安 
装 插件 ”, 新 建 一 个 按钮 组 件 , 将 其 拖 到 舞台 中 .打开 动作 面板 ,在 里 边 输入 “on (press) 
{getURL(" 动 画 . files/abe. exe");}”, 表 示 当 单 击 该 按钮 时 执行 abe 文件 。 在 文件 夹 “ 好 
看 的 动画 ”中 新 建 一 个 网 页 文件 .命名 为 “动画 . html”, 将 刚才 制作 的 动画 放 到 该 网 页 中 。 
平常 下 载 的 网 站 通常 就 是 一 个 . html 文件 和 一 个 结尾 为 . files 的 文件 夹 , 这 样 构造 的 原因 
也 是 用 来 迷惑 打开 者 ,毕竟 没有 几 个 人 会 去 翻 . files 文件 夹 。 现 在 就 可 以 撰写 一 封 新 邮 
件 了 ,将 文件 夹 “ 好 看 的 动画 ?压缩 成 一 个 文件 , 放 到 邮件 的 附件 中 ,再 编写 一 个 诱 人 的 主 
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题 。 只 要 对 方 深信 不 疑 地 运行 它 , 并 重新 启动 系统 ,服务 端 就 种 植 成 功 了 。 
3. 使 用 木马 


成 功 地 给 别人 植 信 木马 服 务 端 后 ,就 需要 耐心 等 待 服务 端 上 线 。 由 于 “黑洞 2004” 采 
用 了 反 连 接 技术 ,所 以 服务 端 上 线 后 会 自动 和 客户 端 进行 连接 ,这 时 ,就 可 以 用 客户 端 对 
服务 端 进行 远程 控制 。 在 “黑洞 2004” 下 面 的 列表 中 , 随 使 选择 一 台 已 经 上 线 的 计算 机 ， 
然后 通过 界面 上 的 命令 按钮 就 可 以 对 这 台 计 算 机 进行 控制 。 下 面 就 介绍 这 些 命令 按钮 
的 意义 和 功能 。 

。 文 件 管理 。 服 务 端 上 线 以 后 ,可 以 通过 “文件 管理 ”命令 对 服务 端 计算 机 中 的 文件 
进行 下 载 . 新 建 、 重 命名 和 删除 等 操作 。 可 以 通过 鼠标 直接 把 文件 或 文件 夹 拖 放 
到 目标 文件 夹 , 并 且 支 持 断 点 传输 。 
进程 管理 。 查 看 、 刷 新 、 关 闭 对 方 的 进程 .如 果 发 现 有 杀毒 软件 或 者 防火 墙 ,就 可 
以 关闭 相应 的 进程 ,达到 保护 服务 器 端 程序 的 目的 。 
窗口 管理 。 管 理 服 务 端 计算 机 的 程序 窗口 ,可 以 对 对 方 窗口 中 的 程序 进行 最 大 
化 、 最 小 化 和 正常 关闭 等 操作 ,这 样 就 比 进程 管理 更 灵活 。 也 可 以 搞 很 多 恶作剧 ， 
比如 让 对 方 的 某 个 窗口 不 停 地 最 大 化 和 最 小 化 。 
视频 监控 和 语音 监听 。 如 果 远 程 服务 端 计算 机 安装 有 USB 摄像 头 ,可 以 通过 它 
来 获取 图 像 ,并 可 直接 保存 为 Media Play 和 可 以 直接 播放 的 Mpeg 文件 ; 若 对 方 
有 麦克 风 , 还 可 以 听 到 他 们 的 谈话 。 

除了 上 面 介绍 的 这 些 功 能 以 外 ,还 包括 键盘 记录 、 重 启 关 机 、 远 程 印 载 和 抓 屏 查看 密 
码 等 功能 ,操作 都 非常 简单 。 


4. 木马 的 隐藏 技术 


随 着 杀毒 软件 病毒 库 的 升级 ,木马 很 快 就 会 被 杀毒 软件 查 杀 ,为 了 使 木马 服务 端 避 
开 杀 毒 软件 的 查 杀 ,长 时 间 地 隐藏 在 别人 的 计算 机 中 ,黑客 通常 用 下 列 方法 来 隐藏 木马 : 

1) 木马 的 自身 保护 

就 像 前 面 提 到 的 ,“ 黑 洞 2004” 在 生成 服务 端的 时 候 ,可 以 更 换 图 标 ,并 使 用 软件 
UPX 对 服务 端 自动 进行 压缩 隐藏 。 

2) 捆绑 服务 端 

通过 使 用 文件 捆绑 器 把 木马 服务 端 和 正常 的 文件 捆绑 在 一 起 ,达到 欺骗 对 方 的 目 
的 。 文 件 捆绑 器 有 广 外 文件 捆绑 器 2002、 万 能 文件 捆绑 器 exeBinder 和 Exe Bundle 等 。 

3) 制作 自己 的 服务 端 

上 面 提 到 的 这 些 方法 虽然 能 一 时 眶 过 杀毒 软件 ,但 最 终 还 是 不 能 逃脱 杀毒 软件 的 查 
杀 , 所 以 车 能 对 现 有 的 木马 进行 伪装 ,让 杀毒 软件 无 法 辨别 , 则 是 个 治本 的 方法 。 可 以 通 
过 使 用 压缩 EXE 和 DLL 文件 的 压缩 软件 对 服务 端 进行 加 这 保护 。 例 如 Stepl 中 的 
UPX 就 是 这 样 一 款 压 缩 软件 ,但 默认 该 软件 是 按照 自身 的 设置 对 服务 端 压缩 的 ,因此 得 
出 的 结果 都 相同 ,很 难 长 时 间 躲 过 杀毒 软件 的 检测 ;而 自己 对 服务 端 进行 压缩 ,就 可 以 选 
择 不 同 的 选项 ,压缩 出 与 众 不 同 的 服务 端 来 ,使 杀毒 软件 很 难 判断 。 下 面 以 “冰河 ”木马 
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为 例 , 简 要 介绍 木马 脱 壳 (解压 ) 、 加 过 (压缩) 的 过 程 。 

如 果 用 杀毒 软件 对 冰河 进行 查 杀 ,一 定 会 发 现 2 个 病毒 ,一 个 是 冰河 的 客户 端 , 另 一 
个 是 服务 端 。 还 可 以 使 用 软件 PEiD 查看 软件 的 服务 端 是 否 已 经 被 作者 加 过 。 

现在 ,需要 对 软件 进行 脱 壳 ,也 就 是 一 种 解压 的 过 程 。 这 里 使 用 UPXUnpack, 选 择 
需要 的 文件 后 , 单 击 * 解 压缩 就 开始 执行 脱 壳 。 

脱 壳 完成 后 ,需要 为 服务 端 加 一 个 新 这 ,加 这 的 软件 很 多 ,比如 ASPack、ASProtect、 
UPXShell 和 Petite 等 。 这 里 以 ASPack 为 例 , 单 击 " 打 开 ” 按 钮 ,选择 刚刚 脱 壳 的 服务 端 
程序 ,选择 完成 后 ASPack 会 自动 为 服务 端 进行 加 壳 。 再 次 用 杀毒 软件 对 这 个 服务 端 进 
行 查 杀 ,发 现 其 已 经 不 能 识别 判断 了 。 如 果 用 户 的 杀毒 软件 依旧 可 以 查 杀 ,就 可 以 使 用 
多 个 软件 对 服务 端 进行 多 次 加 过。 现在 网 络 中 流行 的 很 多 版 本 的 “冰河 ”, 就 是 网 友 通过 
对 服务 端 进行 修改 并 重新 加 壳 后 制作 出 来 的 。 


5. 木马 的 检测 技术 


1) 查看 开放 端口 

当前 最 为 常见 的 木马 通常 是 基于 TCP/UDP 协议 进行 client 端 与 server 端 之 间 的 
通信 的 ,这 样 就 可 以 通过 在 本 机 上 开放 的 端口 ,查看 是 否 有 可 疑 的 程序 打开 了 某 个 可 疑 
的 端口 。 例 如 冰河 使 用 的 监听 端口 是 7626 ,Back Orifice 2000 使 用 的 监听 端口 是 54320 
等 。 假 如 查看 到 有 可 疑 的 程序 在 利用 可 疑 端口 进行 连接 , 则 很 有 可 能 就 是 中 了 木马 。 查 
看 端口 的 方法 有 下 面 几 种 : 

(1) 使 用 Windows 本 身 自 带 的 netstat 命令 检测 。 


C: \> netstat -an 
(2) 使 用 Windows 2000 下 的 命令 行 工具 fport。 
Cc: \\software> Fport.exe 


(3) 使 用 图 形 化 界面 工具 Active Ports。 

这 个 工具 可 以 监视 到 计算 机 所 有 打开 的 TCP/IP/UDP 端口 ,还 可 以 显示 所 有 端口 
所 对 应 的 程序 所 在 的 路 径 , 本 地 IP 和 远 端 IP( 试 图 连接 用 户 的 计算 机 IP) 是 否 正在 活动 。 
这 个 工具 适用 于 Windows NT/2000/XP 平台 。 

2) 查看 win. ini 和 system. ini 系统 配置 文件 

查看 win. ini 和 system. ini 文件 是 否 有 被 修改 的 地 方 。 例 如 有 的 木马 通过 修改 win. 
ini 文件 中 windows 节 的 load 一 file. exe ,run 一 file. exe 语句 进行 自动 加 载 。 此 外 可 以 修 
改 system. ini 中 的 boot 节 , 实 现 木 马 加 载 。 例 如 *“ 妖 之 吻 ” 病 毒 ,将 Shell 二 Explorer. exe 
(Windows 系统 的 图 形 界面 命令 解释 器 ) 修 改 成 Shell 二 yzw. exe. 在 计算 机 每 次 启动 后 就 
自动 运行 程序 yzw. exe。 修 改 的 方法 是 将 shell 二 yzw. exe 还 原 为 shell 一 explorer. exe。 

3) 查看 启动 程序 

如 果木 马 自 动 加 载 的 文件 是 直接 通过 在 Windows 菜单 上 自 定义 添加 的 ,一 般 都 会 
放 在 主 菜单 的 “开始 | 程序 | 启动 ”处 ,在 Windows 资源 管理 器 里 的 位 置 是 “C: \windows\ 
start menu\programs\ 启 动 ”处 。 通 过 这 种 方式 使 文件 自动 加 载 时 ,一 般 都 会 将 其 存放 在 
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注册 表 中 下 述 4 个 位 置 上 : 


HEEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 

HEEY CURRENT USER\Software\Microsoft\Windows\OurrentVersion\Explorer\User Shell Folders 

HEEY IOCRL MACHINE\ Software\Microsoft\Windows\QrrentVersion\Fxplorer\User Shell Folders 

HEEY IOCRL MACHINE\ Software\Microsoft\Windows\OQrrentVersion\Explorer\Shell Folders 

检查 是 否 有 可 疑 的 启动 程序 , 便 很 容易 查 到 是 否 中 了 木马 。 

在 Windows 系统 下 ,还 可 以 直接 运行 Msconfig 命令 查看 启动 程序 和 system. ini、 
win. ini autoexec. bat 等 文件 。 

4) 查看 系统 进程 

木马 即使 再 狂 独 , 它 也 是 一 个 应 用 程序 ,需要 进程 来 执行 。 可 以 通过 查看 系统 进程 
来 推断 木马 是 否 存在 。 

在 Windows NT/XP 系统 下 . 按 Ctrl 十 Alt 十 Del 组 合 键 ,进入 任务 管理 器 ,就 可 看 到 
系统 正在 运行 的 全 部 进程 。 在 Windows 下 ,可 以 通过 Preview 和 winproc 工具 来 查看 进 
程 。 查 看 进程 ,要 求 用 户 对 系统 非常 熟悉 ,对 每 个 系统 运行 的 进程 要 知道 它 是 做 什么 用 
的 ,这 样 ,车 有 木马 进程 正在 运行 ,就 很 容易 看 出 来 哪个 是 木马 程序 的 活动 进程 了 。 

5) 查看 注册 表 

木马 一 旦 被 加 载 ,一 般 都 会 对 注册 表 进 行 修改 。 一 般 来 说 ,木马 在 注册 表 中 实现 加 
载 文 件 一 般 是 在 以 下 位 置 : 

HEEY_IOCAL MACHINE\ Software\Microsoft\Windows\QirrentVersion\Rn 

HEEY IOCRL MACHINE\ Software\Microsoft\Windows\QrrentVersion\RinOnoe 

HEEY IOCAL MACHINE\ Software\Microsoft\Windows\QirrentVersion\RimServioes 

HEEY IOCRL MACHINE\ Software\Microsoft\Windows\ QurrentVersion\RnServicesonoe 

HEEY_CURRENT USER\Software\Microsoft\Windows\QurrentVersion\Rm 

HEEY_CURRENT USER\Software\Microsoft\Windows\QurrentVersion\Rnonoe 

HEEY. CURRENT USER\Software\Microsoft\Windows\QurrentVersion\RinServioes 

6) 使 用 检测 软件 

上 面 介绍 的 是 手工 检测 木马 的 方法 ,此 外 ,还 可 以 通过 各 种 杀毒 软件 .防火 墙 软件 和 
各 种 木马 查 杀 工具 等 检测 木马 。 杀 毒 软件 主要 有 KV3000、Kill3000 和 瑞星 等 ,防火 墙 软 
件 主要 有 国外 的 Lockdown, 国 内 的 天 网 、 金 山 网 镖 等 ,各 种 木马 查 杀 工 具 主 要 有 The 
Cleaner、 木 马克 星 和 木马 终结 者 等 。 


6. 普通 木马 的 清除 技术 


检测 到 计算 机 中 了 木马 后 .就 要 根据 木马 的 特征 来 进行 清除 。 查 看 是 否 有 可 疑 的 启 
动 程序 、 可 疑 的 进程 存在 ,是 否 修 改 了 win. ini、system. ini 系统 配置 文件 和 注册 表 。 如 果 
存在 可 疑 的 程序 和 进程 ,就 按照 特定 的 方法 进行 清除 。 

1) 删除 可 疑 的 启动 程序 

查看 系统 启动 程序 和 注册 表 是 否 存 在 可 疑 的 程序 后 ,判断 是 否 中 了 木马 ,如 果 存 在 
木马 , 则 除了 要 查 出 木马 文件 并 删除 外 ,还 要 将 木马 自动 启动 程序 删除 。 例 如 Hack. 
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Rbot 病毒 .后 门 就 会 复制 自身 到 一 些 固定 的 Windows 自 启动 项 中 : 


WINDORSNRIL1 Users\Start Menu\Programs\Startop 

WINNT\ Profiles\All Users\Start Mnu\Programs\Startup 

WINDONS\ Start Menu\ Programs\ Startup 

Documents and Settings\All Users\Start Mnu\Programs\Starbip 

查看 一 下 这 些 目录 ,如 果 有 可 疑 的 启动 程序 , 则 将 之 删除 。 

2) 恢复 win. ini 和 system. ini 系统 配置 文件 的 原始 配置 

许多 病毒 会 将 win. ini 和 system. ini 系统 配置 文件 修改 ,使 之 能 在 系统 启动 时 加 载 
和 运行 木马 程序 。 例 如 计算 机 中 了 “ 妖 之 吻 ” 病 毒 后 ,病毒 会 将 system. ini 中 的 boot 节 的 
“Shell 二 Explorer. exe” 字 段 修改 成 “Shell 二 yzw. exe”, 清 除 木马 的 方法 是 把 system. ini 
给 恢复 原始 配置 , 即 “Shell 二 yzw. exe” 修 改 回 “Shell 二 Explorer. exe”, 再 删除 掉 病 毒 文 件 
即 可 。 

TROJ_BADTRANS. A 病毒 ,也 会 更 改 win. ini 以 便 在 下 一 次 重新 开机 时 执行 木马 程 
序 。 主 要 是 将 win. ini 中 的 windows 节 的 “Run 王 ”字段 修改 成 “Run 二 C: % WINDIR% 
INETD. EXE" 字 段 。 执 行 清除 的 步骤 如 下 : 

。 打开 win. ini 文本 文件 ,将 字段 “RUN= 二 C: %WINDIR%INETD. EXE” 中 等 号 后 

面 的 字符 删除 , 仅 保留 <RUN 一 ”。 

。 将 被 TROJ_BADTRANS. A 病毒 感染 的 文件 删除 。 

3) 停止 可 疑 的 系统 进程 

木马 程序 在 运行 时 都 会 在 系统 进程 中 留 下 痕迹 。 通 过 查看 系统 进程 可 以 发 现 运行 
的 木马 程序 ,在 对 木马 进行 清除 时 ,当然 首先 要 停 掉 木马 程序 的 系统 进程 。 例 如 Hack. 
Rbot 病毒 .后 门 除了 将 自身 复制 到 一 些 固定 的 Windows 自 启 动 项 中 外 ,还 在 进程 中 运行 
wuamgrd. exe 程序 ,修改 了 注册 表 , 以 便 病毒 可 随机 自 启动 。 若 看 到 有 木马 程序 在 进程 
中 运行 , 则 需要 马上 杀 掉 该 进程 ,并 进行 下 一 步 操作 ,修改 注册 表 和 清除 木马 文件 。 

4) 修改 注册 表 

查看 注册 表 , 将 注册 表 中 木马 修改 的 部 分 还 原 。 例 如 上 面 所 提 到 的 Hack. Rbot 病 
毒 .后 门 ,向 注册 表 的 以 下 地 方 : 

HEEY LOCAL MACHINE\ Software\Microsoft\Windows\QurrentVersion\Rn 

HEEY LOAL, MACHINE\ Software\Microsoft\Windows\QurrentVersion\Rnonoe 

HEEY IOCRL MACHINE\ Software\Microsoft\Windows\OurrentVersion\RnServioes 

HEEY CURRENT USER\Software\Microsoft\Windows\QurrentVersion\Rmn 

添加 键 值 “Microsoft Update” 一 “wuamgrd. exe” ,以便 病 毒 可 随机 自 启动 。 这 就 需 
要 用 户 进入 注册 表 , 将 这 个 键 值 删除 。 

下 面 介绍 如 何 清除 Hack. Rbot 病毒 : 

。 停止 wuamgrd. exe 进程 ,这 是 一 个 木马 程序 。 

。 将 Hack. Rbot 复制 到 Windows 启动 项 中 的 启动 文件 删除 。 

。 将 Hack. Rbot 添加 到 注册 表 中 的 键 值 *Microsoft Update” 二 “wuamgrd. exe” 
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删除 。 

。 手工 或 用 专 杀 工具 删除 被 Hack. Rbot 病毒 感染 的 文件 ,并 全 面 检查 系统 。 

5) 使 用 杀毒 软件 和 木马 查 杀 工具 查 杀 木马 

常用 的 杀毒 软件 包括 KV3000、 瑞 星 和 诺顿 等 ,这 些 软件 对 木马 的 查 杀 是 比较 有 效 
的 ,但 是 要 注意 时 刻 更 新 病毒 库 , 而 且 对 于 一 些 木 马 查 杀 不 彻底 ,在 系统 重新 启动 后 还 会 
自动 加 载 。 此 外 ,还 可 以 使 用 The Cleaner、 木 马克 星 和 木马 终结 者 等 各 种 木马 专 杀 工 具 
对 木马 进行 查 杀 。 这 里 推荐 一 款 工具 Anti-Trojan Shield, 这 是 一 款 享誉 欧洲 的 专业 木马 
侦 测 ,拦截 及 清除 软件 ,可 以 在 http: //www. atshield. com 网 站 下 载 。 


7. 几 种 特殊 木马 的 清除 技术 


由 于 木马 的 种 类 很 多 ,对 不 同 的 木马 ,其 清除 技术 也 不 尽 相 同 。 下 面 , 介 绍 几 种 常见 
特殊 木马 的 清除 技术 。 

1) BO 木马 

BO(Back Orifice) 是 一 种 没有 任何 权限 限制 的 FTP 服务 器 程序 ,黑客 先 使 用 各 种 方 
法 诱惑 他 人 使 用 BO 的 服务 器 端 程序 ,一 旦 得 逮 便 可 通过 BO 客户 端 程序 经 由 TCP/IP 
网 络 进入 并 控制 远程 的 Windows。 其 工作 原理 是 , Boserve. exe 在 对 方 的 计算 机 中 运行 
后 ,自动 在 Windows 里 注册 并 隐藏 起 来 ,在 对 方 上 网 后 通过 Boconfig. exe( 安 装 设置 的 程 
序 ) 和 Boclient. exe( 文 本 方式 的 控制 程序 ) 或 Bogui. exe( 图 形 界面 控制 程序 ) 来 控制 对 
方 。 网 上 更 有 一 些 害 人 虫 将 木马 程序 和 其 他 应 用 程序 结合 起 来 发 送 给 对 方 ,只 要 对 方 运 
行 了 BO 程序 ,木马 就 会 驻 留 到 Windows 系统 中 ,BO 本 质 上 属于 客户 机 /服务 器 应 用 程 
序 。 它 通过 一 个 极其 简单 的 图 形 用 户 界 面 和 控制 面板 ,可 以 对 感染 了 BO( 即 运行 了 BO 
服务 器 ) 的 计算 机 操作 Windows 本 身 具备 的 所 有 功能 。BO 没有 利用 系统 和 软件 的 任何 
漏洞 或 Bug, 也 没有 利用 任何 微软 未 公开 的 内 部 API. 而 完全 是 利用 Windows 系统 的 设 
计 缺 陷 。 甚 至 连 普通 的 局 域 网 防火 墙 和 代理 服务 器 也 难以 抵挡 。BO 服务 器 可 通过 网 上 
下 载 ,电子 邮 件 、. 盗 版 光盘 和 人 为 投放 等 途径 传播 并且 可 极其 隐蔽 地 粘贴 在 其 他 应 用 程 
序 中 。 一 旦 激活 ,就 可 以 自动 安装 ,创建 Windll. dll, 然 后 删除 自 安装 程序 , 埋 名 隐 姓 , 潜 
伏 在 计算 机 中 。 入 侵 者 就 可 通过 BO 客户 机 程序 ,方便 地 搜索 到 世界 上 任何 一 台 被 BO 
感染 并 上 网 的 计算 机 IP 地 址 。 通 过 IP 地 址 就 可 对 其 轻易 实现 网 络 和 系统 控制 功能 。 可 
获取 包括 网 址 口令 ,拨号 上 网 口令 ,用户 口令 .磁盘 .CPU 和 软件 版 本 等 详细 的 系统 信息 ; 
可 删除 复制、 检查 查看 文件 ;可 运行 计算 机 机 内 任何 一 个 程序 :可 捕捉 屏幕 信息 ;可 上 
传 各 种 文件 ;可 以 查阅 、 创 建 、 删 除 和 修改 系统 注册 表 ; 可 以 使 计算 机 重新 启动 或 锁 死机 
器 。 而 所 有 这 些 功能 的 实现 ,只 需 在 菜单 中 作 一 选择 , 轻 按 一 键 ,就 可 轻松 完成 

Back Orifice 2000 的 防范 技术 : 

(1) 对 于 95 和 98 的 用 户 ,检查 C: \windows\system 目录 下 是 否 有 UMGR32 一 
1. exe 文件 ,如 果 存 在 则 运行 Regedit, 将 HKEY_LOCAL_MACHINE\SOFTWARE\ 
Microsoft\Windows\CurrentVersion\ RunServices 中 的 UMGT32. exe 清除 ,重启 计算 
机 ,然后 用 Delete 命令 删除 硬盘 上 的 UMGT32. exe 文件 。 

(2) 对 于 NT 的 用 户 , 检 查 C: \winnt\system32 目录 下 是 否 有 UMGR32 一 1. exe 这 个 
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文件 ,如 果 有 的 话 先 将 任务 管理 器 中 对 应 的 进程 Kill 掉 , 再 运行 Regedit 并 将 路 径 指向 
HKEY_LOCAL_MACHINE\SYSTEMAN ControlSet001 \ Services\ Remote Administration 
Service, 然 后 删除 它 , 最 好 重启 一 次 计算 机 。 

BO 的 清除 步骤 : 

(1) 运行 Regedit. exe, 打 开 注 册 表 。 

(2) 选择 目录 至 HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\Current- 
Version\RunServices。 

(3) 查找 并 删除 键 值 为 ". exe” 的 键 值 。 

(4) 关闭 Regedit, 重 新 启动 计算 机 。 

(5) 将 C:\Windows\System 目录 下 的 *. exe” 删 除 ,然后 ,再 删除 Windll. dll 文件 。 

(6) 再 次 重新 启动 计算 机 。 

2) 冰河 木马 

冰河 木马 是 用 C ++ Builder 写 的 ,为 了 便于 理解 ,将 用 VB 来 说 明 , 其 中 涉及 到 一 些 
WinSock 编程 和 Windows API 的 知识 ,如 果 对 此 不 是 很 了 解 的 话 , 请 查阅 相关 的 资料 。 

清除 过 程 如 下 : 

(1) 运行 Regedit. exe, 打 开 注 册 表 。 

(2) 选择 目录 至 HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\Current- 
Version\ RunServices\RUN, 

(3) 查找 并 删除 “C; \Windows\System” 文 件 夹 下 的 “kernel32. exe” 和 “Sysexplr. exe” 两 
个 键 值 。 

(4) 关闭 Regedit ,重新 启动 计算 机 。 

(5) 删除 “C: \ Windows \ System \ kernel32. exe” 和 “C: \ Windows \ System\ 
Sysexplr. exe” 两 个 文件 。 

(6) 再 次 重新 启动 计算 机 。 

3) netspy 木马 的 清除 

(1) 运行 Regedit. exe, 打 开 注 册 表 。 

(2) 选择 目录 至 HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\Current- 
Version\RUN。 

(3) 查找 并 删除 SysProtect 二 “C: \Windows\System\System. exe” 或 Netspy 二 “Netspy. 
exe” 键 值 。 

(4) 关闭 Regedit, 重 新 启动 计算 机 。 

(5) 删除 “C:\Windows\System” 目 录 下 的 “System. exe” 和 “Netspy. exe” 两 个 文件 。 

(6) 再 次 重新 启动 计算 机 。 


4) SubSeven 木马 的 清除 

(1) 运行 Regedit. exe, 打 开 注 册 表 。 

(2) 选择 目录 至 HKEY_LOCAL _MACHINE\Software\Microsoft\ Windows\Current- 
Version\RUN, 


322 


ius ats tsanit 


(3) 查找 并 删除 SystemTraylcon 一 “C:\Windows\SysTraylcon. exe” 键 值 。 
(4) 关闭 Regedit, 重 新 启动 计算 机 。 

(5) 删除 “C:\Windows” 目 录 下 的 “SysTraylcon. exe” 文 件 。 

(6) 再 次 重新 启动 计算 机 。 


8. 木马 的 防范 技术 


随 着 网 络 的 普及 ,硬件 和 软件 的 高 速 发 展 ,网 络 安全 显得 日 益 重 要 。 对 于 网 络 中 比 
较 流 行 的 木马 程序 ,传播 时 间 比 较 快 ,影响 比较 严重 ,因此 对 于 木马 的 防范 就 更 不 能 朴 
忽 。 在 检测 清除 木马 的 同时 ,还 要 注意 对 木马 的 预防 ,做 到 防 患 于 未 然 。 

1) 不 要 随意 打开 来 历 不 明 的 邮件 

现在 许多 木马 都 是 通过 邮件 来 传播 的 , 当 收 到 来 历 不 明 的 邮件 时 ,请 不 要 打开 ,应 尽 
快 删除 。 并 加 强 邮件 监控 系统 , 拒 收 垃圾 邮件 。 

2) 不 要 随意 下 载 来 历 不 明 的 软件 

最 好 是 在 一 些 知名 的 网 站 下 载 软件 ,不 要 下 载 和 运行 那些 来 历 不 明 的 软件 。 在 安装 
软件 的 同时 最 好 用 杀毒 软件 查看 有 没有 病毒 ,之 后 再 进行 安装 。 

3) 及 时 修补 漏洞 和 关闭 可 疑 的 端口 

一 般 木 马 都 是 通过 漏洞 在 系统 上 打开 端口 留 下 后 门 ,以 便 上 传 木马 文件 和 执行 代 
码 , 在 把 漏洞 修补 上 的 同时 ,需要 对 端口 进行 检查 ,把 可 疑 的 端口 关闭 。 

4) 尽量 少 用 共享 文件 夹 

如 果 必 须 使 用 共享 文件 夹 , 则 最 好 设置 账号 和 密码 保护 。 注 意 千 万 不 要 将 系统 目录 
设置 成 共享 ,最 好 将 系统 下 默认 共享 的 目录 关闭 。Windows 系统 默认 情况 下 将 目录 设置 
成 共享 状态 ,是 非常 危险 的 。 

5) 运行 实时 监控 程序 

在 上 网 时 最 好 运行 反 木马 实时 监控 程序 和 个 人 防火 墙 ,并 定时 对 系统 进行 病毒 检查 。 

6) 经 常 升级 系统 和 更 新 病毒 库 

经 常 关注 厂商 网 站 的 安全 公告 ,这 些 网 站 通常 都 会 及 时 地 将 漏洞 .木马 和 更 新 公布 
出 来 ,并 在 第 一 时 间 发 布 补丁 和 新 的 病毒 库 等 。 


134 应 用 实例 


1341 个 人 计算 机 防 “ 黑 ”技术 


当 用 户 在 网 络 上 冲浪 、 聊 天 或 发 电子 邮件 时 ,必须 要 有 共同 的 协议 ,这 个 协议 就 是 
TCP/IP 协议 。 如 果 把 互联 网 比 作 公 路 网 ,计算 机 就 是 路 边 的 房屋 ,房屋 要 有 门 才 可 以 进 
出 ,TCP/IP 协议 规定 ,计算 机 可 以 有 256X256 扇 门 , 即 从 0 到 65 535 号 * 门 ”,TCP/IP 
协议 把 它 叫 做 “端口 "。 当 用 户 发 电子 邮件 的 时 候 ,E-mail 软件 把 信件 送 到 了 邮件 服务 器 
的 25 号 端口 , 当 收 信 的 时 候 ,E-mail 软件 是 从 邮件 服务 器 的 110 号 端口 这 扇 门 进去 取信 
的 。 新 安装 好 的 个 人 计算 机 打开 的 端口 号 是 139 端口 .上 网 的 时 候 ,就 是 通过 这 个 端口 
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与 外 界 联系 的 。 黑 客 正 是 通过 端口 进入 用 户 的 计算 机 和 网 站 的 。 
1. 通过 端口 进入 用 户 的 计算 机 


黑客 是 怎么 样 进 入 用 户 计算 机 的 呢 ? 当然 也 是 基于 TCP/IP 协议 ,通过 某 个 端口 进 
入 用 户 个 人 计算 机 的 。 如 果 用 户 的 计算 机 设置 了 共享 目录 ,那么 黑客 就 可 以 通过 139 端 
口 进入 用 户 的 计算 机 ,注意 , Windows 系统 有 个 缺陷 ,无 论 共享 目录 设置 了 多 长 的 密码 ， 
黑客 都 能 进入 用 户 的 计算 机 ,所 以 ,最 好 不 要 设置 共享 目录 ,这 样 就 能 防止 别人 浏览 自己 
计算 机 上 的 资料 。 除 了 139 端口 以 外 ,如 果 没 有 别 的 端口 是 开放 的 ,黑客 就 不 能 入 侵 用 
户 的 个 人 计算 机 。 那 么 黑客 怎么 样 才 会 进 到 用 户 的 计算 机 中 的 呢 ? 答案 是 通过 特洛伊 
木马 进入 。 如 果 用 户 不 小 心 运行 了 特洛伊 木马 ,计算 机 上 的 某 个 端口 就 会 开放 ,黑客 就 
通过 这 个 端口 进入 。 举 个 例子 ,有 一 种 典型 的 木马 软件 ,叫做 netspy. exe。 如 果 用 户 不 
小 心 运行 了 netspy. exe, 那 么 它 就 会 告诉 Windows, 以 后 每 次 开 计 算 机 的 时 候 都 要 运行 
它 , 然 后 ,netspy. exe 又 在 用 户 的 计算 机 上 开 了 一 肩 “ 门 ”, 门 ”的 编号 是 7306 端口 ,如 果 
黑客 知道 用 户 的 7306 端口 是 开放 的 话 , 就 可 以 用 软件 偷偷 进入 到 用 户 的 计算 机 中 。 特 
洛 伊 木马 本 身 就 是 为 了 入 侵 个 人 计算 机 而 制作 的 , 它 藏 在 计算 机 中 ,在 工作 的 时 候 都 是 很 
隐蔽 的 , 它 的 运行 和 黑客 的 入 侵 , 不 会 在 计算 机 的 屏幕 上 显示 出 任何 痕迹 。Windows 本 身 
没有 监视 网 络 的 软件 ,所 以 不 借助 软件 ,是 不 知道 特洛伊 木马 的 存在 和 黑客 的 入 侵 的 。 


2. 如 何 发 现 自己 计算 机 中 的 木马 


在 这 里 , 仍 以 netspy. exe 为 例 , 假 若 知 道 netspy. exe 打开 了 计算 机 的 7306 端口 ,要 
想 知道 自己 的 计算 机 是 不 是 中 了 netspy. exe, 只 要 项 斋 7306 这 扇 “ 门 ?就 可 以 了 。 先 打 
开 C: \WINDOWS\WINIPCFG. EXE 程序 .首先 找到 自己 的 IP 地 址 (比如 用 户 的 IP 地 
址 是 210. 40. 100. 10) ,然后 打开 浏览 器 ,在 浏览 器 的 地 址 栏 中 输入 http: //210. 40. 100. 
10: 7306/ ,如 果 浏 览 器 告诉 用 户 连 接 不 上 ,说 明 用 户 的 计算 机 的 7306 端口 没有 开放 ;如 
果 浏 览 器 能 连接 上 ,并 且 在 浏览 器 中 跳出 一 排 英 文 说 明 及 netspy. exe 的 版 本 ,那么 说 明 
计算 机 中 了 netspy. exe 木马 。 这 是 最 简单 最 直接 的 办 法 ,但 是 需要 知道 各 种 木马 所 开放 
的 端口 。 下 列 端口 是 木马 常用 的 开放 端口 : 

7306、7307、7308、12345、12345、12346、31337、6680 .8111 .9910。 


3. 进一步 查找 木马 


有 人 曾经 做 过 一 个 试验 ,假设 被 攻击 用 户 已 知 netspy. exe 开放 的 是 7306 端口 ,于 是 
用 工具 把 它 的 端口 修改 ,经 过 修改 的 木马 开放 的 是 7777 端口 ,现在 再 用 旧 的 办 法 是 找 不 
到 netspy. exe 木马 的 。 于 是 可 以 用 扫描 计算 机 的 办 法 看 看 计算 机 有 多 少 端口 开放 着 ,并 
且 再 分 析 这 些 开 放 的 端口 。 

网 络 的 端口 号 是 0 一 65 535, 其 中 139 端口 在 正常 情况 下 应 该 是 开放 的 ,用 户 可 以 关 
闭 正 在 运行 的 139 端口 ,然后 再 用 端口 扫描 软件 对 0 一 65 535 端口 扫描 ,如 果 除了 139 端 
口 以 外 还 有 其 他 的 端口 开放 ,那么 很 可 能 是 木马 造成 的 。 

排除 了 139 端口 以 外 的 端口 ,可 以 进一步 进行 分 析 , 用 浏览 器 进入 这 个 端口 看 看 , 它 
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会 做 出 什么 样 的 反应 ,就 可 以 根据 情况 再 判断 了 。 
4. 在 硬盘 上 删除 木马 


最 简单 的 办 法 当然 是 用 杀毒 软件 删除 木马 了 ,Netvrv 病毒 防护 墙 可 以 帮助 用 户 删 除 
netspy. exe 和 bo. exe 木马 ,但 是 不 能 删除 netbus 木马 。 

下 面 就 netbus 木马 为 例 介 绍 删 除 过 程 。 

netbus 木马 的 客户 端 有 两 种 ,一 种 以 Mring. exe 为 代表 (472 576B), 另 一 种 以 
SysEdit. exe 为 代表 (494 592B) ,netbus 木马 开放 的 都 是 12345 端口 。 

Mring. exe 一 旦 被 运行 以 后 , Windows 每 次 启动 时 都 会 自动 运行 Mring. exe, 因为 
Windows 将 它 放 在 了 注册 表 中 ,用 户 可 以 打开 注册 表 C: \WINDOWS\REGEDIT. EXE, 然 
后 进入 HKEY_LOCAL_MACHINE\Software\MicrosoftA Windows\CurrentVersion\Run 找 
到 Mring. exe, 然 后 删除 这 个 键 值 ,再 到 Windows 中 找到 并 删除 Mring. exe 文件 。 注 意 ， 
Mring. exe 可 能 会 被 黑客 改变 名 字 , 字 节 长 度 也 会 被 改变 ,但 是 在 注册 表 中 的 位 置 不 会 改 
变 , 可 以 到 注册 表 的 这 个 位 置 去 查找 。 

另外 ,可 以 找 包 含有 netbus 字符 的 可 执行 文件 ,再 看 字 节 的 长 度 , Windows 和 其 他 
的 一 些 应 用 软件 没有 包含 netbus 字符 的 ,被 找到 的 文件 多 半 就 是 Mring. exe 的 变种 。 

要 知道 自己 的 计算 机 中 有 没有 木马 ,只 要 看 看 有 没有 可 疑 端口 被 开放 ,用 代理 猎手 、 
Tcepview. exe 都 可 以 查找 。 要 查找 木马 ,一 是 可 以 到 注册 表 的 指定 位 置 去 找 ; 二 是 可 以 查 
找 包含 相应 的 可 执行 程序 ,比如 ,被 开放 的 端口 是 7306 ,就 找 包 含 netspy 的 可 执行 程序 ; 
三 是 检视 内 存 , 看 有 没有 相关 的 程序 在 内 存 中 。 


5. 悄悄 等 待 黑客 的 来 临 


在 这 里 ,介绍 两 款 实用 软件 ,使 用 这 两 款 软 件 , 可 以 捕获 木马 对 本 机 和 网 站 的 攻击 。 

NukeNabber 是 一 款 端口 监视 器 软件 ,用 NukeNabber 监视 7306 端口 ,如 果 有 人 接 
触 这 个 端口 ,就 马上 报警 。 在 别人 看 来 ,你 的 计算 机 的 7306 端口 是 开放 的 ,但 是 7306 不 
是 由 netspy 控制 , 当 NukeNabber 发 现 有 人 接触 7306 端口 或 者 试图 进入 自己 的 7306 端 
口 ,会 马上 报警 ,用 户 可 以 在 NukeNabber 上 面 看 到 黑客 做 了 些 什 么 ,黑客 的 IP 地 址 是 哪 
里 ,然后 ,就 可 以 反 过 来 攻击 黑客 了 。 当 用 NukeNabber 监视 139 端口 的 时 候 , 就 可 以 知 
道 谁 在 用 IP 炸弹 炸 自己 。 如 果 NukeNabber 告诉 用 户 不 能 监视 7306 端口 ,说 明 这 个 端 
口 已 经 被 占用 了 ,也 说 明 用 户 的 计算 机 中 已 经 存在 了 netspy 木马 。 

第 二 个 软件 就 是 Tcpview. exe, 这 个 软件 是 线程 监视 器 ,可 以 用 它 来 查看 有 多 少 端 口 
是 开放 的 ,有 哪些 用 户 在 和 自己 通信 ,对 方 的 IP 地 址 和 端口 分 别 是 什么 。 


1342 “ 密 钢 ”诱骗 技术 


1. 什么 叫 蜜 缸 
蜜 负 ,或 称 Honeypot, 就 是 使 用 一 台 不 作 任何 安全 防范 措施 而 且 连 接 网 络 的 计算 
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机 ,但 是 与 一 般 计算 机 不 同 的 是 , 它 内 部 运行 着 多 种 多 样 的 数据 记录 程序 和 特殊 用 途 的 
“自我 暴露 程序 ”, 在 “ 蜜 钠 ” 中 加 上 了 很 多 “蜂蜜 ”, 用 以 诱惑 贪 嘴 的 "黑熊" 上钩 。 从 入 侵 
者 的 角度 来 看 ,和 人 侵 到 蜜 饶 会 使 他 们 的 心情 大 起 大 落 , 从 一 开始 偷 着 乐 骂 管理 员 傻 帽 到 
最 后 明白 自己 被 傻 幅 当成 猴子 要 的 过 程 。 


2. 为 什么 要 使 用 蜜 钠 


前 面 说 过 了 ,“ 蜜 铅 ” 是 一 台 “ 故 意 ” 存 在 多 种 漏洞 的 计算 机 ,而 且 管 理 员 清楚 它 身 上 
有 多 少 个 漏洞 ,这 就 像 狙 击 手 为 了 试探 敌 方 狙击 手 的 实力 而 用 枪支 撑 起 的 钢 盔 , 蜜 饶 会 
记录 入 侵 者 的 一 举 一 动 ,为 管理 员 能 更 好 地 分 析 入 侵 者 都 喜欢 往 哪 个 洞 里 钼 ,以 便 加 强 
防御 。 

另 一 方面 是 因为 防火 墙 的 局 限 性 和 脆弱 性 ,因为 防火 墙 必 须 建 立 在 基于 已 知 危险 的 
规则 体系 上 进行 防御 ,如 果 入 侵 者 发 动 新 形式 的 攻击 ,防火 墙 没有 相对 应 的 规则 去 处 理 ， 
这 时 的 防火 墙 就 形同虚设 ,防火 墙 保护 的 系统 也 会 遭 到 破坏 ,因此 技术 员 需 要 蜜 馈 来 记 
录入 侵 者 的 行动 和 和 人 侵 数据 ,必要 时 给 防火 墙 添加 新 规则 或 者 手工 防御 。 


3. 密 缸 技术 


可 能 会 有 人 问 , 既 然 使 用 蜜 饶 能 有 那么 多 好 处 ,那么 大 家 都 可 在 家 里 做 个 蜜 铅 , 岂 不 
是 能 最 大 程度 防范 黑客 ? 蜜 包 虽然 在 一 定 程度 上 能 帮 管 理 员 解 决 分 析 问 题 ,但 它 并 不 是 
防火 墙 ,相反 的 , 它 也 是 一 个 危险 的 入 侵 系 统 。 蜜 铅 会 被 狐 独 的 入 侵 者 反 利 用 来 攻击 别 
人 的 例子 也 屡见不鲜 ,只 要 管理 员 在 某 个 设置 上 出 现 错误 , 蜜 铅 就 成 了 打 狗 的 肉 包子 。 
虽然 蜜 能 要 做 好 随时 牺牲 的 准备 ,如 果 到 最 后 都 没 能 记录 到 入 侵 数据 ,那么 这 台 蜜 馈 纯 
粹 就 是 等 着 挨 襟 的 肉鸡 了 。 蜜 铅 的 复杂 性 就 在 此 , 它 自身 需要 提供 让 入 侵 者 乐意 停留 的 
漏洞 ,又 要 确保 后 台 记录 能 正常 而 且 隐蔽 地 运行 ,这 些 都 需要 高 超 的 专业 技术 。 

首先 要 弄 清楚 一 台 蜜 镀 和 一 台 没有 任何 防范 措施 的 计算 机 的 区 别 , 虽 然 这 两 者 都 有 
可 能 被 入 侵 破坏 ,但 是 本 质 却 完全 不 同 , 蜜 饶 是 网 络 管理 员 经 过 周密 布置 而 设 下 的 “ 黑 匣 
子 ”, 看 似 漏洞 百出 却 尽 在 掌握 之 中 , 它 收集 的 入 侵 数 据 十 分 有 用 ;一 般 的 计算 机 根本 就 
是 送 给 入 侵 者 的 礼物 ,即使 被 入 侵 也 不 一 定 查 得 到 痕迹 。 因 此 , 蜜 饶 的 定义 是 “ 蜜 缸 是 
一 个 安全 资源 , 它 的 价值 在 于 被 探测 ,攻击 和 损害 的 同时 ,记录 下 入 侵 的 一 切 行为 。” 

设计 密 饶 的 初 庙 就 是 让 黑客 人 侵 , 借 此 收集 证 据 , 同 时 隐藏 真实 的 服务 器 地 址 ,因此 
要 求 一 台 合格 的 蜜 镀 必 须 具 有 的 发 现 攻击 .产生 警告 .强大 的 记录 能 力 、 欺 骗 ,协助 调查 
的 功能 。 另 外 一 个 功能 由 管理 员 去 完成 , 那 就 是 在 必要 时 候 根 据 蜜 饶 收 集 的 证 据 来 起 诉 
人 侵 者 。 

4. 蜜 缸 的 类 型 

1) 实 系统 蜜 饶 

实 系统 蜜 饶 是 最 真实 的 蜜 饶 , 它 运行 着 真实 的 系统 ,并 且 带 着 真实 可 入 侵 的 漏洞 , 属 


于 最 危险 的 漏洞 ,但 是 它 记 录 下 的 人 侵 信息 往往 是 最 真实 的 。 这 种 蜜 饶 安装 的 系统 一 般 
都 是 最 初 的 ,没有 任何 SP 补丁 ,或 者 打 了 低 版 本 SP 补丁 ,根据 管理 员 需 要 ,也 可 能 补 上 
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一 些 漏洞 .只 要 值得 研究 的 漏洞 还 存在 就 必须 打 补 丁 。 然 后 把 蜜 镀 连 接 到 网 络 上 ,根据 
目前 的 网 络 扫描 频繁 来 看 ,这 样 的 蜜 缸 很 快 就 能 吸引 到 目标 并 接受 攻击 ,系统 运行 的 记 
录 程 序 会 记 下 入 侵 者 的 一 举 一 动 ,但 同时 它 也 是 最 危险 的 ,因为 人 侵 者 每 一 个 人 侵 都 会 
引起 系统 真实 的 反应 ,例如 被 溢出 、 渗 透 和 夺取 权限 等 。 

2) 伪 系 统 蜜 钠 

伪 系 统 也 是 建立 在 真实 系统 基础 上 的 ,但 是 它 最 大 的 特点 就 是 “平台 与 漏洞 非 对 称 
性 ”。 
大 家 知道 ,操作 系统 不 只 有 Windows, 在 这 个 领域 ,还 有 Linux、UNIX、OS2 和 BeOS 
等 ,它们 的 核心 不 同 , 因 此 会 产生 的 漏洞 和 缺陷 也 就 不 尽 相 同 ,也 就 是 很 少 有 能 同时 攻击 
几 种 系统 的 漏洞 代码 ,也 许 用 LSASS 溢出 漏洞 能 拿 到 Windows 的 权限 ,但 是 用 同样 的 
手法 去 溢出 Linux 只 能 是 徒劳 的 。 根 据 这 种 特性 ,能 产生 “ 伪 系 统 蜜 铅 ”, 它 利用 一 些 工 
具 程 序 强大 的 模仿 能 力 ,伪造 出 不 属于 自己 平台 的 “漏洞 ", 入 侵 这 样 的 “漏洞 ”, 只 能 是 在 
一 个 程序 框架 里 打转 ,即使 成 功 “渗透 ”, 也 仍然 是 程序 制造 的 梦境 一 一 系统 本 来 就 没有 
让 这 种 漏洞 成 立 的 条 件 。 实 现 一 个 “ 伪 系 统 " 并 不 困难 ,Windows 平 台 下 的 一 些 虚拟 机 程 
序 、Linux 自身 的 脚本 功能 加 上 第 三 方 工具 就 能 轻松 实现 ,甚至 在 Linux/UNIX 下 还 能 
实时 由 管理 员 产 生 一 些 根本 不 存在 的 “漏洞 ", 让 入 侵 者 自 以 为 得 种 。 实 现 跟踪 记录 也 很 
容易 ,只 要 在 后 台 开 着 相应 的 记录 程序 即 可 。 

这 种 蜜 饶 的 好 处 在 于 ,能 最 大 程度 防止 被 入 侵 者 破坏 ,也 能 模拟 不 存在 的 漏洞 ,甚至 
可 以 让 一 些 Windows 蠕虫 攻击 Linux, 只 要 模拟 出 符合 条 件 的 Windows 特征 。 但 是 也 
存在 坏处 ,因为 一 个 聪明 的 入 侵 者 只 要 经 过 几 个 回合 就 会 识破 伪装 ,另外 ,编写 脚本 并 不 
是 一 件 简单 的 事情 。 


5. 蜜 缸 的 用 途 


既然 蜜 饶 不 是 做 来 玩 的 ,管理 员 自 然 就 不 会 做 个 蜜 饶 然 后 让 它 赋闲 在 家 ,那么 到 底 
怎么 用 蜜 铅 呢 ? 

1) 迷惑 入侵 者 ,保护 服务 器 

一 般 的 客户 机 /服务 器 模式 里 ,浏览 者 是 直接 与 网 站 服务 器 连接 的 , 换 句 话说 ,整个 
网 站 服务 器 都 暴露 在 入侵 者 面前 ,如 果 服 务 器 安全 措施 不 够 .那么 整个 网 站 数据 都 有 可 
能 被 入 侵 者 轻易 毁灭 。 但 是 如 果 在 客户 机 /服务 器 模式 里 嵌入 蜜 镀 , 让 蜜 饮 作 为 服务 器 
角色 ,真正 的 网 站 服务 器 作为 一 个 内 部 网 络 在 蜜 铅 上 做 网 络 端口 映射 ,这 样 可 以 把 网 站 
的 安全 系数 提高 ,入 侵 者 即使 渗透 了 位 于 外 部 的 “服务 器 ”, 也 得 不 到 任何 有 价值 的 资料 ， 
因为 他 人 侵 的 是 蜜 饶 而 已 。 虽 然 人 侵 者 可 以 在 蜜 饶 的 基础 上 跳 进 内 部 网 络 , 但 那 要 比 直 
接 攻 下 一 台 外 部 服务 器 复杂 得 多 .许多 水 平 不 足 的 入 侵 者 只 能 望而却步 。 

在 这 种 用 途上 , 蜜 饶 不 能 设计 得 漏洞 百出 。 密 缸 既 然 成 了 内 部 服务 器 的 保护 层 , 就 
必须 要 求 它 自身 足够 坚固 ,否则 .整个 网 站 都 要 拱手 送 人 了 。 

2) 抵御 入 侵 者 ,加 固 服务 器 

入 侵 与 防范 一 直 都 是 热点 问题 ,而 在 其 间 插 入 一 个 蜜 铅 系 统 将 会 使 防范 变 得 有 趣 ， 
蜜 饶 可 被 设置 得 与 内 部 网 络 服务 器 一 样 , 当 一 个 人 侵 者 费 尽力 气 入 侵 了 这 台 蜜 镀 的 时 
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候 , 管 理 员 已 经 收集 到 足够 的 攻击 数据 来 加 固 真实 的 服务 器 。 

采用 这 个 策略 去 布置 蜜 缸 ,需要 管理 员 配 合 监视 ,否则 入 侵 者 攻破 了 第 一 台 计算 机 ， 
就 会 有 第 二 台 计 算 机 受到 攻击 。 

3) 诱捕 网 络 罪犯 

这 是 一 个 相当 有 趣 的 应 用 , 当 管 理 员 发 现 一 个 普通 的 客户 机 /服务 器 模式 网 站 服务 
器 已 经 牺牲 成 肉鸡 的 时 候 , 管 理 员 会 迅速 修复 服务 器 。 那 么 下 次 呢 ? 既然 人 侵 者 已 经 确 
信 自己 把 该 服务 器 做 成 了 肉鸡 ,他 必然 还 会 再 次 “光临 ”, 可 以 设置 一 个 蜜 负 模 拟 出 已 经 
被 入 侵 的 状态 ,等 待 黑客 的 到 来 。 同 样 ,一 些 企业 为 了 查找 恶意 入 侵 者 ,也 会 故意 设置 一 
些 有 不 明显 漏洞 的 蜜 饶 , 让 入 侵 者 在 不 起 疑心 的 情况 下 乖乖 被 记录 下 一 切 行动 证 据 , 有 
些 人 把 此 戏称 为 “监狱 机 ”, 通 过 与 电信 局 的 配合 ,可 以 轻易 揪 出 IP 源头 的 那 双 黑手 。 

随 着 网 络 信 侵 类 型 的 多 样 化 发 展 , 蜜 饶 也 必须 进行 多 样 化 的 演绎 ,否则 有 一 天 它 将 
无 法 面 对 入 侵 者 的 肆虐 。 这 也 对 网 络 管理 员 的 技术 能 力 有 了 更 高 的 要 求 ,因为 蜜 饶 是 活 
跃 在 安全 领域 的 虚拟 演员 , 它 的 一 举 一 动 ,都 是 通过 用 户 自己 来 设计 的 。 


1343 IP 地 址 侦察 和 隐藏 技术 


在 正式 进行 各 种 “黑客 行为 "之 前 ,黑客 会 采取 各 种 手段 ,探测 (也 可 以 说 “侦察 ”) 对 
方 的 主机 信息 ,以便 决定 使 用 何 种 最 有 效 的 方法 达到 目的 。 来 看 看 黑客 是 如 何 获知 最 基 
本 的 网 络 信息 ,如 对 方 的 IP 地 址 以 及 用 户 如 何 防范 自己 的 IP 泄漏 。 


1. 获取 IP 地 址 


“IP" 作 为 网 络 用 户 的 重要 标识 ,是 黑客 首先 需要 了 解 的 重要 信息 。 获 取 IP 的 方法 
较 多 ,黑客 也 会 因 不 同 的 网 络 情况 采取 不 同 的 方法 ,如 在 局 域 网 内 使 用 ping 命令 ,ping 
对 方 在 网 络 中 的 域名 而 获得 IP; 也 可 在 Internet 上 使 用 IP 版 的 QQ 直接 显示 ,而 最 最 有 
效 的 办 法 是 截获 并 分 析 对 方 的 网 络 数据 包 。 可 用 Windows 2003 的 网 络 监视 器 捕获 的 网 
络 数 据 包 ,再 通过 软件 解析 截获 后 的 数据 包 的 IP 包头 信息 ,再 根据 这 些 信息 了 解 具体 
的 IP。 


2. 隐藏 IP 地 址 


虽然 侦察 IP 的 方法 多 样 , 但 用 户 可 以 隐藏 IP 的 方法 也 很 多 。 就 拿 对 付 最 有 效 的 “数据 
包 分 析 方 法 ”而 言 ,就 可 以 安装 能 够 自动 去 掉 发 送 数 据 包 包头 IP 信息 的 Norton Internet 
Security 2003。 不 过 使 用 “Norton Internet Security” 有 些 缺 点 ,譬如 , 它 耗 费 资源 严重 ,降低 
计算 机 性 能 ;在 访问 一 些 论坛 或 者 网 站 时 会 受 影响 ;不 适合 网 吧 用 户 使 用 等 。 现 在 的 个 人 
用 户 采 用 最 普及 隐藏 IP 的 方法 应 该 是 使 用 代理 ,由 于 使 用 代理 服务 器 后 ,“ 转 址 服务 ”会 
对 发 送出 去 的 数据 包 有 所 修改 ,致使 “数据 包 分 析 ” 的 方法 失效 。 一 些 容易 泄漏 用 户 IP 
的 网 络 软 件 (QQ、MSN 和 IE 等 ) 都 支持 使 用 代理 方式 连接 Internet, 特别 是 QQ 使 用 
ezProxy 等 代理 软件 连接 后 ,IP 版 的 QQ 都 无 法 显示 该 IP 地 址 。 还 有 一 款 比 较 适 合 个 人 
用 户 的 简易 代理 软件 ,如 * 网 络 新 手 IP 隐藏 器 ”, 只 要 在 “代理 服务 器 ”和 “代理 服务 器 端 ” 
填 入 正确 的 代理 服务 器 地 址 和 端口 , 即 可 对 http 使 用 代理 ,比较 适合 由 于 IE 和 QQ 泄漏 
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IP 的 情况 。 

使 用 代理 服务 器 ,同样 有 一 些 缺点 ,比如 会 影响 网 络 通信 的 速度 ;需要 网 络 上 的 一 台 
能 够 提供 代理 能 力 的 计算 机 ;如 果 用 户 无 法 找到 这 样 的 代理 服务 器 就 不 能 使 用 代理 ( 查 
找 代理 服务 器 时 ,可 以 使 用 “代理 猎手 "等 工具 软件 扫描 网 络 上 的 代理 服务 器 )。 

虽然 代理 可 以 有 效 地 隐藏 用 户 IP. 但 技术 高 深 的 黑客 亦 可 以 绕 过 代理 ,查找 到 对 方 
的 真实 IP 地 址 ,用 户 在 何 种 情况 下 使 用 何 种 方法 隐藏 IP, 也 要 因 情 况 而 论 。 


习 是 人 


.“ 黑 客 " 与 “人 侵 者 "有 何 区 别 ? 

. 黑客 攻击 的 基本 步骤 有 哪些 ? 

. 黑客 搜集 目标 信息 的 一 般 步骤 有 哪些 ? 
. 什么 是 拒绝 服务 攻击 ? 

. 什么 是 木马 ? 

. 常用 的 木马 防范 技术 有 哪些 ? 


D on mo ee 


附录 A 
缩 略 词汇 


ACL(Access Control List) ”访问 控制 表 
ADM(Anomaly Detection Model) ”异常 检测 模型 
AH(Authentication Head) 认证 头 

ARP(Address Resolution Protocol) ”地 址 解析 协议 
BIOS(Base Input/Output System) ”基本 输入 /输出 系统 
CA(Certification Authority) ”认证 中 心 


addendum A 


CSMA/CD(Carrier Sense Multi-Access/Collision Detection) ”载波 侦 听 多 路 访问 / 冲 


突 检测 


CMOS(Complementary Metal-Oxide-Semiconductor 互补 式 金属 氧化 物 半导体 存储 器 


CRC(Cyclic Redundancy Check) ”循环 元 余 校 验 
CPU(Central Processing Unit) ”中 央 控 制 单元 ,中 央 控 制 器 
DAC(Discretionary Access Control) ”自主 访问 控制 
DDoS(Distribute Denial of Service) 分布 式 拒绝 服务 攻击 
DOS(Disk Operation System) 磁盘 操作 系统 

DoS(Denial of Service) ”拒绝 服务 攻击 

DZ(Demilitarized Zone) ” 非 军事 区 域 

ECN(Explicit Congestion Notification) 显示 拥塞 指示 算法 
ESP(Encapsulating Security Payload) 封装 安全 净 荷 
FDDICFiber Distributed Data Interface ) 光缆 分 布 式 数据 接口 
FIFO(First In First Out) ”先进 先 出 算法 

FTP(File Transfer Protocol) ”文件 传输 协议 

HIDS(Host Intrusion Detect System) ”主机 入 侵 检 测 系 统 
HSM(Hierarchical Storage Management) ”分 级 存储 管理 
HTTP(Hyper Text Transfer Protocol)” 超 文本 传输 协议 
ICMP(Internet Control Message Protocol) ”控制 报 文 协 议 
IDS(Intrusion Detect System) 入 侵 检测 系统 
ICV(Integrated Check Vector) ”完整 性 检测 向 量 
IIS(Internet Information Server) ”Internet 信息 服务 
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IKE(Inter Key Exchange) Internet 密 钥 交换 协议 

JP(Internet Protocol) ”网 际 协议 

IPSec(Internet Protocol Security) ”因特网 安全 协议 

IPX(Internet Packet eXchange) ”网 间 分 组 交换 

IOS(International Organization for Standardization) ”国际 标准 化 组 织 
MAC(Media Access Control) 介质 访问 控制 

MDM(Misuse Detection Model) ” 误 用 检测 模型 

MIC(Message Integrity Code) ”消息 完整 性 编码 

NIDS(Network Intrusion Detect System) 网络 人 侵 检测 系统 
OSI(Open System Interconnection) 开放 系统 互 连 参 考 模型 
PDA(Personal Digital Assistant) 个 人 数字 助理 

PKI(Public Key Infrastructures) 公 钥 基础 设施 

QoS(Quality of Service) ”服务 质量 

RAID(Redundant Arrays of Independent Disks) 磁盘 阵列 
RARP(Reverse Address Resolution Protocol) 反 向 地 址 解析 协议 
RBAC (Role Based Access Contol) 基于 角色 的 访问 控制 模式 
RED(Random Early Detection) ”随机 早期 检测 算法 
SMTP(Simple Mail Transfer Protocol) ”简单 邮件 传输 协议 
SPI(Security Parameter Index) ”安全 参数 索引 

SSL(Secure Socket Layer) 安全套 接 字 层 

TCB(Trusted Computing Base) 可 信 计 算 基础 
TCP(Transmission Control Protocol) ”传输 控制 协议 
TCP/IP(Transmission Control Protocol/Internet Protocol) Internet 协议 簇 
UDP(User Datagram Protocol) 用户 报 文 协议 
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亲爱 的 读者 : 

感谢 您 一 直 以 来 对 清华 版 计算 机 教材 的 支持 和 爱护 。 为 了 今后 为 您 提供 更 优秀 的 教材 ， 
请 您 抽出 宝贵 的 时 间 来 填写 下 面 的 意见 反馈 表 ， 以 便 我 们 更 好 地 对 本 教材 做 进一步 改进 。 
同时 如 果 您 在 使 用 本 教材 的 过 程 中 遇 到 了 什么 问题 ， 或 者 有 什么 好 的 建议 ， 也 请 您 来 信 告 


诉 我 们 。 
地 址 : 北京 市 海淀 区 双 清 路 学 研 大 厦 A 座 602 室 计算 机 与 信息 分 社 营销 室 收 
邮编 : 100084 电子 邮件 ，jsjjc@tup.tsinghua.edu.cn 


电话 : 010-62770175-4608/4409 邮购 电话 : 010-62786544 
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您 使 用 本 书 是 作为 : 口 指定 教材 口 选 用 教材 口 辅导 教材 口 自学 教材 
您 对 本 书 封面 设计 的 满意 度 : 

口 很 满意 口 满意 口 一 般 口 不 满意 改进 建议 
您 对 本 书 印刷 质量 的 满意 度 : 

口 很 满意 口 满意 口 一 般 口 不 满意 改进 建议 
您 对 本 书 的 总 体 满意 度 : 

从 语言 质量 角度 看 口 很 满意 口 满意 口 一 般 口 不 满意 
从 科技 含量 角度 看 口 很 满意 口 满意 口 一 般 口 不 满意 
本 书 最 令 您 满意 的 是 : 

口 指导 明确 口内 容 充实 口 讲解 详尽 口 实例 丰富 

您 认为 本 书 在 哪些 地 方 应 进行 修改 ? 《可 附 页 ) 


您 希望 本 书 在 哪些 方面 进行 改进 ? 〈 可 附 页 ) 


电子 教案 支持 


敬爱 的 教师 : 

为 了 配合 本 课程 的 教学 需要 ， 本 教材 配 有 配套 的 电子 教案 (素材 ), 有 需求 的 教师 可 
以 与 我 们 联系 ,我 们 将 向 使 用 本 教材 进行 教学 的 教师 免费 赠送 电子 教案 (素材 ), 希望 有 
助 于 教学 活动 的 开展 。 相 关 信 息 请 拨打 电话 010-62776969 或 发 送 电 子 邮 件 至 
jsjjc@tup.tsinghua.edu.cn 咨询 ， 也 可 以 到 清华 大 学 出 版 社 主页 (http://www.tup.comcn 或 
http://www.tup.tsinghua.edu.cn) 上 查询 。 


